Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM-Steuerungen für Amazon CloudFront
Diese AWS Security Hub CSPM Kontrollen bewerten den CloudFront Service und die Ressourcen von Amazon. Die Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
**Verwandte Anforderungen:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Ressourcen, die nicht öffentlich zugänglich sind
**Schweregrad:** Hoch
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution mit S3-Ursprüngen so konfiguriert ist, dass sie ein bestimmtes Objekt zurückgibt, das das Standard-Root-Objekt ist. Die Steuerung schlägt fehl, wenn die CloudFront Distribution S3-Ursprünge verwendet und kein Standard-Root-Objekt konfiguriert ist. Dieses Steuerelement gilt nicht für CloudFront Distributionen, die benutzerdefinierte Ursprünge verwenden.
Ein Benutzer kann manchmal die Stamm-URL der Distribution anstelle eines Objekts in der Distribution anfordern. In diesem Fall können Sie durch die Festlegung eines Standardstammobjekt verhindern, dass die Inhalte Ihrer Web-Verteilung preisgegeben werden.
### Abhilfe
Informationen zur Konfiguration eines Standard-Root-Objekts für eine CloudFront Distribution finden Sie unter [How to specify a default root object](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) im *Amazon CloudFront Developer Guide*.
## [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution verlangt, dass Zuschauer HTTPS direkt verwenden, oder ob sie eine Umleitung verwendet. Die Steuerung schlägt fehl, wenn sie auf `allow-all` für `defaultCacheBehavior` oder für `cacheBehaviors` gesetzt `ViewerProtocolPolicy` ist.
HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.
### Abhilfe
Informationen zum Verschlüsseln einer CloudFront Verteilung während der Übertragung finden Sie unter [HTTPS für die Kommunikation zwischen Zuschauern erforderlich und CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution mit einer Ursprungsgruppe konfiguriert ist, die zwei oder mehr Ursprünge hat.
CloudFront Origin-Failover kann die Verfügbarkeit erhöhen. Origin-Failover leitet den Datenverkehr automatisch an einen sekundären Ursprung weiter, wenn der primäre Ursprung nicht verfügbar ist oder wenn bestimmte HTTP-Antwortstatuscodes zurückgegeben werden.
### Abhilfe
Informationen zur Konfiguration des Origin-Failovers für eine CloudFront Distribution finden Sie unter [Creating an Origin Group](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) im *Amazon CloudFront Developer Guide*.
## [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Kategorie:** Identifizieren > Protokollierung
**Schweregrad:** Mittel
**Ressourcentyp:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung für CloudFront Distributionen aktiviert ist. Die Steuerung schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist. Dieses Steuerelement bewertet nur, ob die Standardprotokollierung (Legacy) für eine Verteilung aktiviert ist.
CloudFront Zugriffsprotokolle enthalten detaillierte Informationen über jede eingehende Benutzeranfrage CloudFront. Jedes Protokoll enthält Informationen wie Datum und Uhrzeit des Eingangs der Anfrage, die IP-Adresse des Betrachters, der die Anfrage gestellt hat, die Quelle der Anfrage und die Portnummer der Anfrage vom Betrachter. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Weitere Informationen zur Analyse von Zugriffsprotokollen finden Sie unter [ CloudFront Amazon-Protokolle abfragen](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) im *Amazon Athena-Benutzerhandbuch*.
### Abhilfe
Informationen zur Konfiguration der Standardprotokollierung (Legacy) für eine CloudFront Distribution finden [Sie unter Standardprotokollierung konfigurieren (Legacy)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
**Kategorie: Schützen > Schutzdienste**
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob CloudFront Distributionen entweder AWS WAF Classic oder AWS WAF Web ACLs zugeordnet sind. Das Steuerelement schlägt fehl, wenn die Distribution keiner Web-ACL zugeordnet ist.
AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Sie ermöglicht es ihnen, eine Gruppe von Regeln (eine sogenannte Web-Zugriffskontrollliste oder Web-ACL) zum Zulassen, Blockieren oder Zählen von Webanforderungen basierend auf von Ihnen definierten anpassbaren Web-Sicherheitsregeln und Bedingungen zu konfigurieren. Stellen Sie sicher, dass Ihre CloudFront Distribution mit einer AWS WAF Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.
### Abhilfe
Informationen zum Verknüpfen einer AWS WAF Web-ACL mit einer CloudFront Distribution finden Sie [unter Verwendung AWS WAF zur Zugriffskontrolle auf Ihre Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS
**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob CloudFront Distributionen das SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS Standardzertifikat verwenden.
Benutzerdefiniert SSL/TLS ermöglichen es Ihren Benutzern, mithilfe alternativer Domainnamen auf Inhalte zuzugreifen. Sie können benutzerdefinierte Zertifikate in AWS Certificate Manager (empfohlen) oder in IAM speichern.
### Abhilfe
Informationen zum Hinzufügen eines alternativen Domainnamens für eine CloudFront Distribution mit einem benutzerdefinierten SSL/TLS-Zertifikat finden Sie unter [Hinzufügen eines alternativen Domainnamens](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) im *Amazon CloudFront Developer Guide*.
## [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Kategorie:** Schutz > Sichere Netzwerkkonfiguration
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen ein benutzerdefiniertes SSL/TLS Zertifikat verwenden und so konfiguriert sind, dass SNI zur Bearbeitung von HTTPS-Anfragen verwendet wird. Diese Kontrolle schlägt fehl, wenn ein benutzerdefiniertes SSL/TLS Zertifikat zugeordnet ist, die SSL/TLS Unterstützungsmethode jedoch eine dedizierte IP-Adresse ist.
Die Servernamensanzeige (SNI) ist eine Erweiterung des TLS-Protokolls, die in Browsern und Clients unterstützt wird, die nach 2010 veröffentlicht wurden. Wenn Sie so konfigurieren CloudFront , dass HTTPS-Anfragen mithilfe von SNI bedient CloudFront werden, verknüpfen Sie Ihren alternativen Domainnamen mit einer IP-Adresse für jeden Edge-Standort. Sobald ein Viewer Inhalte von Ihnen durch Senden einer HTTPS-Anforderung abruft, leitet DNS die Anforderung an die IP-Adresse des korrekten Edge-Standorts weiter. Die IP-Adresse Ihres Domainnamens wird während der SSL/TLS Handshake-Verhandlung festgelegt. Die IP-Adresse ist nicht für Ihre Distribution reserviert.
### Abhilfe
Informationen zur Konfiguration einer CloudFront Distribution für die Verwendung von SNI zur Bearbeitung von HTTPS-Anfragen finden Sie unter [Verwenden von SNI zur Bearbeitung von HTTPS-Anfragen (funktioniert für die meisten Kunden) im CloudFront Entwicklerhandbuch](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni). Informationen zu benutzerdefinierten SSL-Zertifikaten finden Sie unter [Anforderungen für die Verwendung von SSL/TLS Zertifikaten mit](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html). CloudFront
## [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln
**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln. Diese Kontrolle schlägt bei einer CloudFront Distribution fehl, deren Ursprungsprotokollrichtlinie „Nur HTTP“ zulässt. Diese Kontrolle schlägt auch fehl, wenn die Ursprungsprotokollrichtlinie der Distribution „Match-Viewer“ lautet, während die Viewer-Protokollrichtlinie „Allow-all“ lautet.
HTTPS (TLS) kann verwendet werden, um das Abhören oder Manipulieren des Netzwerkverkehrs zu verhindern. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden.
### Abhilfe
Informationen zur Aktualisierung der Origin-Protokollrichtlinie, sodass für eine CloudFront Verbindung eine Verschlüsselung [erforderlich ist, finden Sie im *Amazon CloudFront Developer Guide* unter HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) erforderlich machen.
## [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden
**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen veraltete SSL-Protokolle für die HTTPS-Kommunikation zwischen CloudFront Edge-Standorten und Ihren benutzerdefinierten Ursprüngen verwenden. Diese Kontrolle schlägt fehl, wenn eine CloudFront Distribution über ein Where Includes verfügt`CustomOriginConfig`. `OriginSslProtocols` `SSLv3`
Im Jahr 2015 gab die Internet Engineering Task Force (IETF) offiziell bekannt, dass SSL 3.0 nicht mehr unterstützt werden sollte, da das Protokoll nicht ausreichend sicher ist. Es wird empfohlen, dass Sie TLSv1 .2 oder höher für die HTTPS-Kommunikation mit Ihren benutzerdefinierten Ursprüngen verwenden.
### Abhilfe
Informationen zur Aktualisierung der Origin-SSL-Protokolle für eine CloudFront Distribution finden Sie unter [HTTPS für die Kommunikation zwischen CloudFront und Ihrem benutzerdefinierten Ursprung erforderlich](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen
**Verwandte Anforderungen:** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), PCI DSS v4.0.1/2.2.6
**Kategorie**: Identifizieren > Ressourcenkonfiguration
**Schweregrad:** Hoch
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)
**Art des Zeitplans:** Periodisch
**Parameter:** Keine
Diese Kontrolle prüft, ob CloudFront Amazon-Distributionen auf nicht existierende Amazon S3-Ursprünge verweisen. Die Kontrolle schlägt bei einer CloudFront Distribution fehl, wenn der Ursprung so konfiguriert ist, dass er auf einen nicht existierenden Bucket verweist. Diese Steuerung gilt nur für CloudFront Distributionen, bei denen ein S3-Bucket ohne statisches Website-Hosting der S3-Ursprung ist.
Wenn eine CloudFront Distribution in Ihrem Konto so konfiguriert ist, dass sie auf einen nicht existierenden Bucket verweist, kann ein böswilliger Dritter den Bucket erstellen, auf den verwiesen wird, und seine eigenen Inhalte über Ihre Distribution bereitstellen. Wir empfehlen, alle Ursprünge unabhängig vom Routing-Verhalten zu überprüfen, um sicherzustellen, dass Ihre Distributionen auf die richtigen Ursprünge verweisen.
### Abhilfe
Informationen zum Ändern einer CloudFront Distribution, sodass sie auf einen neuen Ursprung verweist, finden Sie unter [Aktualisieren einer Distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Ressource nicht öffentlich zugänglich
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob für eine CloudFront Amazon-Distribution mit einem Amazon S3-Ursprung die Origin Access Control (OAC) konfiguriert ist. Die Kontrolle schlägt fehl, wenn OAC nicht für die CloudFront Distribution konfiguriert ist.
Wenn Sie einen S3-Bucket als Ursprung für Ihre CloudFront Distribution verwenden, können Sie OAC aktivieren. Dies ermöglicht den Zugriff auf den Inhalt im Bucket nur über die angegebene CloudFront Distribution und verhindert den direkten Zugriff aus dem Bucket oder einer anderen Distribution. Obwohl Origin Access Identity (OAI) CloudFront unterstützt wird, bietet OAC zusätzliche Funktionen, und Distributionen, die OAI verwenden, können zu OAC migriert werden. OAI bietet zwar eine sichere Möglichkeit, auf S3-Ursprünge zuzugreifen, weist jedoch Einschränkungen auf, z. B. mangelnde Unterstützung für detaillierte Richtlinienkonfigurationen und für HTTP/HTTPS Anfragen, die die POST-Methode verwenden und für die Signature Version 4 (Sigv4) erforderlich AWS ist. AWS-Regionen OAI unterstützt auch keine Verschlüsselung mit. AWS Key Management Service OAC basiert auf einer AWS bewährten Methode zur Verwendung von IAM-Dienstprinzipalen zur Authentifizierung mit S3-Ursprüngen.
### Abhilfe
Informationen zur Konfiguration von OAC für eine CloudFront Distribution mit S3-Ursprüngen finden Sie unter [Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.14] CloudFront Distributionen sollten markiert werden
**Kategorie:** Identifizieren > Inventar > Tagging
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config Regel:** `tagged-cloudfront-distribution` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert |
Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn die Distribution keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Verteilung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.
**Anmerkung**
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*
### Abhilfe
Informationen zum Hinzufügen von Tags zu einer CloudFront Distribution finden Sie unter [Tagging CloudFront Amazon-Distributionen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**`securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (nicht anpassbar)
Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution für die Verwendung einer empfohlenen TLS-Sicherheitsrichtlinie konfiguriert ist. Die Kontrolle schlägt fehl, wenn die CloudFront Distribution nicht für die Verwendung einer empfohlenen TLS-Sicherheitsrichtlinie konfiguriert ist.
Wenn Sie eine CloudFront Amazon-Distribution so konfigurieren, dass Zuschauer HTTPS für den Zugriff auf Inhalte verwenden müssen, müssen Sie eine Sicherheitsrichtlinie auswählen und die zu verwendende SSL/TLS Mindestprotokollversion angeben. Dies bestimmt, welche Protokollversion für die Kommunikation mit Zuschauern CloudFront verwendet wird und welche Chiffren zur Verschlüsselung der Kommunikation CloudFront verwendet werden. Wir empfehlen, die neueste Sicherheitsrichtlinie zu verwenden, die dies bietet. CloudFront Dadurch wird sichergestellt, dass die neuesten Cipher Suites CloudFront verwendet werden, um Daten zu verschlüsseln, die zwischen einem Viewer und einer Distribution übertragen werden. CloudFront
**Anmerkung**
Dieses Steuerelement generiert Ergebnisse nur für CloudFront Distributionen, die für die Verwendung benutzerdefinierter SSL-Zertifikate konfiguriert sind und die nicht für die Unterstützung älterer Clients konfiguriert sind.
### Abhilfe
Informationen zur Konfiguration der Sicherheitsrichtlinie für eine CloudFront Distribution finden Sie unter [Eine Distribution aktualisieren](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) im *Amazon CloudFront Developer Guide*. Wenn Sie die Sicherheitsrichtlinie für eine Distribution konfigurieren, wählen Sie die neueste Sicherheitsrichtlinie aus.
## [CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden
**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob bei einer CloudFront Amazon-Distribution mit einer AWS Lambda Funktions-URL als Ursprung die Origin Access Control (OAC) aktiviert ist. Die Steuerung schlägt fehl, wenn die CloudFront Distribution eine Lambda-Funktions-URL als Ursprung hat und OAC nicht aktiviert ist.
Eine AWS Lambda Funktions-URL ist ein dedizierter HTTPS-Endpunkt für eine Lambda-Funktion. Wenn eine Lambda-Funktions-URL der Ursprung einer CloudFront Distribution ist, muss die Funktions-URL öffentlich zugänglich sein. Aus Sicherheitsgründen sollten Sie daher ein OAC erstellen und es der Lambda-Funktions-URL in einer Distribution hinzufügen. OAC verwendet IAM-Dienstprinzipale, um Anfragen zwischen und der Funktions-URL zu authentifizieren. CloudFront Es unterstützt auch die Verwendung ressourcenbasierter Richtlinien, sodass der Aufruf einer Funktion nur dann zulässig ist, wenn eine Anfrage im Namen einer in der Richtlinie angegebenen Distribution erfolgt. CloudFront
### Abhilfe
Informationen zur Konfiguration von OAC für eine CloudFront Amazon-Distribution, die eine Lambda-Funktions-URL als Ursprung verwendet, finden Sie unter [Beschränken Sie den Zugriff auf einen AWS Lambda Funktions-URL-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) im *Amazon CloudFront Developer Guide*.
## [CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs
**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Zugriffskontrolle
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::CloudFront::Distribution`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob eine CloudFront Amazon-Distribution so konfiguriert ist, dass sie vertrauenswürdige Schlüsselgruppen für die Authentifizierung mit signierten URLs oder signierten Cookies verwendet. Die Kontrolle schlägt fehl, wenn die CloudFront Distribution vertrauenswürdige Unterzeichner verwendet oder wenn für die Distribution keine Authentifizierung konfiguriert ist.
Um signierte URLs oder signierte Cookies verwenden zu können, benötigen Sie einen Unterzeichner. Ein Unterzeichner ist entweder eine vertrauenswürdige Schlüsselgruppe, in der Sie erstellen CloudFront, oder ein AWS Konto, das ein CloudFront key pair enthält. Wir empfehlen, vertrauenswürdige Schlüsselgruppen zu verwenden, da Sie bei CloudFront Schlüsselgruppen nicht den Root-Benutzer des AWS Kontos verwenden müssen, um die öffentlichen Schlüssel für CloudFront signierte URLs und signierte Cookies zu verwalten.
**Anmerkung**
Dieses Steuerelement bewertet keine CloudFront Mehrmandantenverteilungen`(connectionMode=tenant-only)`.
### Abhilfe
Informationen zur Verwendung vertrauenswürdiger Schlüsselgruppen mit signierten URLs und Cookies finden Sie unter [Verwenden vertrauenswürdiger Schlüsselgruppen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) im *Amazon CloudFront Developer Guide*.