Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon ECS
Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Container Service (AmazonECS).
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[ECS.1] ECS Amazon-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::ECS::TaskDefinition
AWS Config -Regel: ecs-task-definition-user-for-host-mode-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
-
SkipInactiveTaskDefinitions:true(nicht anpassbar)
Dieses Steuerelement prüft, ob eine aktive ECS Amazon-Aufgabendefinition mit Host-Netzwerkmodus user Container-Definitionen hatprivileged. Die Steuerung schlägt bei Aufgabendefinitionen fehl, die Host-Netzwerkmodus- und Container-Definitionen vonprivileged=false, leer und user=root oder leer haben.
Dieses Steuerelement bewertet nur die letzte aktive Version einer ECS Amazon-Aufgabendefinition.
Mit dieser Steuerung soll sichergestellt werden, dass der Zugriff bewusst definiert wird, wenn Sie Aufgaben ausführen, die den Host-Netzwerkmodus verwenden. Wenn eine Aufgabendefinition über erhöhte Rechte verfügt, liegt das daran, dass Sie diese Konfiguration gewählt haben. Dieses Steuerelement sucht nach unerwarteter Rechteerweiterung, wenn für eine Aufgabendefinition das Host-Netzwerk aktiviert ist und Sie keine erhöhten Rechte wählen.
Abhilfe
Informationen zum Aktualisieren einer Aufgabendefinition finden Sie unter Aktualisieren einer Aufgabendefinition im Amazon Elastic Container Service Developer Guide.
Wenn Sie eine Aufgabendefinition aktualisieren, werden laufende Aufgaben, die mit der vorherigen Aufgabendefinition gestartet wurden, nicht aktualisiert. Um eine laufende Aufgabe zu aktualisieren, müssen Sie die Aufgabe mit der neuen Aufgabendefinition erneut bereitstellen.
[ECS.2] ECS Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::ECS::Service
AWS Config Regel: ecs-service-assign-public-ip-disabled (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob die ECS Amazon-Dienste so konfiguriert sind, dass sie automatisch öffentliche IP-Adressen zuweisen. Diese Steuerung schlägt fehl, wenn dies AssignPublicIP der Fall istENABLED. Diese Kontrolle AssignPublicIP ist erfolgreich, falls jaDISABLED.
Eine öffentliche IP-Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre ECS Amazon-Instances mit einer öffentlichen IP-Adresse starten, sind Ihre ECS Amazon-Instances über das Internet erreichbar. ECSAmazon-Services sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Container-Anwendungsserver ermöglichen kann.
Abhilfe
Zunächst müssen Sie eine Aufgabendefinition für Ihren Cluster erstellen, die den awsvpc Netzwerkmodus verwendet und FARGATEfür requiresCompatibilities spezifiziert. Wählen Sie dann für Compute-Konfiguration die Optionen Starttyp und FARGATE. Schalten Sie abschließend für das Feld Netzwerk die Option Öffentliche IP aus, um die automatische Zuweisung öffentlicher IP-Adressen für Ihren Dienst zu deaktivieren.
[ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::ECS::TaskDefinition
AWS Config Regel: ecs-task-definition-pid-mode-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ECS Amazon-Aufgabendefinitionen so konfiguriert sind, dass sie den Prozess-Namespace eines Hosts mit seinen Containern gemeinsam nutzen. Die Steuerung schlägt fehl, wenn die Aufgabendefinition den Prozess-Namespace des Hosts gemeinsam mit den darauf laufenden Containern verwendet. Dieses Steuerelement bewertet nur die letzte aktive Version einer ECS Amazon-Aufgabendefinition.
Ein Prozess-ID (PID) -Namespace sorgt für die Trennung zwischen Prozessen. Er verhindert, dass Systemprozesse sichtbar sind, und ermöglicht PIDs die Wiederverwendung, einschließlich 1. PID Wenn der PID Namespace des Hosts gemeinsam mit Containern genutzt wird, könnten Container alle Prozesse auf dem Hostsystem sehen. Dadurch wird der Vorteil der Isolierung auf Prozessebene zwischen dem Host und den Containern verringert. Diese Umstände könnten zu unberechtigtem Zugriff auf Prozesse auf dem Host selbst führen, einschließlich der Möglichkeit, diese zu manipulieren und zu beenden. Kunden sollten den Prozess-Namespace des Hosts nicht mit Containern teilen, die darauf laufen.
Abhilfe
Informationen zur Konfiguration der pidMode Aufgabendefinition finden Sie unter Aufgabendefinitionsparameter im Amazon Elastic Container Service Developer Guide.
[ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
Kategorie: Schützen > Sichere Zugriffsverwaltung > Zugriffsbeschränkungen für Root-Benutzer
Schweregrad: Hoch
Art der Ressource: AWS::ECS::TaskDefinition
AWS Config-Regel: ecs-containers-nonprivileged
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob der privileged Parameter in der Container-Definition von Amazon ECS Task Definitions auf gesetzt isttrue. Die Steuerung schlägt fehl, wenn dieser Parameter gleich isttrue. Dieses Steuerelement bewertet nur die letzte aktive Version einer ECS Amazon-Aufgabendefinition.
Wir empfehlen Ihnen, erhöhte Rechte aus Ihren ECS Aufgabendefinitionen zu entfernen. Wenn der Berechtigungsparameter lautettrue, erhält der Container erhöhte Rechte auf der Host-Container-Instance (ähnlich wie dem Root-Benutzer).
Abhilfe
Informationen zur Konfiguration des privileged Parameters für eine Aufgabendefinition finden Sie unter Erweiterte Container-Definitionsparameter im Amazon Elastic Container Service Developer Guide.
[ECS.5] ECS Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Hoch
Art der Ressource: AWS::ECS::TaskDefinition
AWS Config-Regel: ecs-containers-readonly-access
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob ECS Amazon-Container auf den schreibgeschützten Zugriff auf gemountete Root-Dateisysteme beschränkt sind. Die Steuerung schlägt fehl, wenn der readonlyRootFilesystem Parameter auf gesetzt ist false oder wenn der Parameter in der Containerdefinition innerhalb der Aufgabendefinition nicht vorhanden ist. Dieses Steuerelement bewertet nur die letzte aktive Version einer ECS Amazon-Aufgabendefinition.
Durch die Aktivierung dieser Option werden Sicherheitsangriffsvektoren reduziert, da das Dateisystem der Container-Instance nur manipuliert oder beschrieben werden kann, wenn sie über explizite Lese- und Schreibberechtigungen für ihren Dateisystemordner und ihre Verzeichnisse verfügt. Diese Steuerung folgt außerdem dem Prinzip der geringsten Rechte.
Abhilfe
Beschränkung von Containerdefinitionen auf den schreibgeschützten Zugriff auf Root-Dateisysteme
Öffnen Sie die Amazon ECS Classic-Konsole unter https://console.aws.amazon.com/ecs/
. -
Wählen Sie im linken Navigationsbereich Aufgabendefinitionen aus.
-
Wählen Sie eine Aufgabendefinition mit Containerdefinitionen aus, die aktualisiert werden müssen. Führen Sie für jeden Schritt die folgenden Schritte aus:
-
Wählen Sie in der Dropdownliste die Option Neue Revision erstellen mit ausJSON.
-
Fügen Sie den
readonlyRootFilesystemParameter hinzu und legen Sie ihntruein der Containerdefinition innerhalb der Aufgabendefinition auf fest. -
Wählen Sie Create (Erstellen) aus.
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, v4.0.1/8.6.2 PCI DSS
Kategorie: Schützen > Sichere Entwicklung > Anmeldeinformationen sind nicht fest codiert
Schweregrad: Hoch
Art der Ressource: AWS::ECS::TaskDefinition
AWS Config-Regel: ecs-no-environment-secrets
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
secretKeys =
AWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY,ECS_ENGINE_AUTH_DATA(nicht anpassbar)
Dieses Steuerelement prüft, ob der Schlüsselwert einer Variablen im environment Parameter von ContainerdefinitionenAWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY, oder enthältECS_ENGINE_AUTH_DATA. Dieses Steuerelement schlägt fehl, wenn eine einzelne Umgebungsvariable in einer Containerdefinition gleich AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY, oder ECS_ENGINE_AUTH_DATA ist. Diese Kontrolle deckt keine Umgebungsvariablen ab, die von anderen Standorten wie Amazon S3 weitergegeben werden. Dieses Steuerelement bewertet nur die letzte aktive Version einer ECS Amazon-Aufgabendefinition.
AWS Systems Manager Parameter Store kann Ihnen helfen, die Sicherheitslage Ihres Unternehmens zu verbessern. Wir empfehlen, den Parameter Store zum Speichern von Geheimnissen und Anmeldeinformationen zu verwenden, anstatt sie direkt an Ihre Container-Instances zu übergeben oder sie fest in Ihren Code zu codieren.
Abhilfe
Informationen zum Erstellen von Parametern mit SSM finden Sie unter Systems Manager Manager-Parameter erstellen im AWS Systems Manager Benutzerhandbuch. Weitere Informationen zum Erstellen einer Aufgabendefinition, die ein Geheimnis spezifiziert, finden Sie unter Spezifying sensitive data using Secrets Manager im Amazon Elastic Container Service Developer Guide.
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Hoch
Art der Ressource: AWS::ECS::TaskDefinition
AWS Config Regel: ecs-task-definition-log -Konfiguration
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für die letzte aktive ECS Amazon-Aufgabendefinition eine Protokollierungskonfiguration angegeben wurde. Die Steuerung schlägt fehl, wenn für die Aufgabendefinition die logConfiguration Eigenschaft nicht definiert logDriver ist oder wenn der Wert für in mindestens einer Containerdefinition Null ist.
Die Protokollierung hilft Ihnen dabei, die Zuverlässigkeit, Verfügbarkeit und Leistung von Amazon aufrechtzuerhaltenECS. Das Sammeln von Daten aus Aufgabendefinitionen sorgt für Transparenz, was Ihnen helfen kann, Prozesse zu debuggen und die Ursache von Fehlern zu finden. Wenn Sie eine Protokollierungslösung verwenden, die nicht in der ECS Aufgabendefinition definiert werden muss (z. B. eine Protokollierungslösung eines Drittanbieters), können Sie diese Steuerung deaktivieren, nachdem Sie sichergestellt haben, dass Ihre Protokolle ordnungsgemäß erfasst und übermittelt wurden.
Abhilfe
Informationen zum Definieren einer Protokollkonfiguration für Ihre ECS Amazon-Aufgabendefinitionen finden Sie unter Angabe einer Protokollkonfiguration in Ihrer Aufgabendefinition im Amazon Elastic Container Service Developer Guide.
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
Verwandte Anforderungen: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5), v4.0.1/6.3.3 NIST NIST PCI DSS
Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::ECS::Service
AWS Config-Regel: ecs-fargate-latest-platform-version
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
latestLinuxVersion: 1.4.0(nicht anpassbar)latestWindowsVersion: 1.0.0(nicht anpassbar)
Dieses Steuerelement prüft, ob die Amazon ECS Fargate-Dienste die neueste Version der Fargate-Plattform ausführen. Diese Steuerung schlägt fehl, wenn die Plattformversion nicht die neueste ist.
AWS Fargate Plattformversionen beziehen sich auf eine spezifische Laufzeitumgebung für die Fargate-Task-Infrastruktur, bei der es sich um eine Kombination aus Kernel- und Container-Laufzeitversionen handelt. Neue Plattformversionen werden veröffentlicht, wenn sich die Laufzeitumgebung weiterentwickelt. Beispielsweise kann eine neue Version für Kernel- oder Betriebssystemupdates, neue Funktionen, Bugfixes oder Sicherheitsupdates veröffentlicht werden. Sicherheits-Updates und -Patches für Ihre -Fargate-Aufgaben werden automatisch bereitgestellt. Wenn ein Sicherheitsproblem gefunden wird, das sich auf eine Plattformversion auswirkt, wird die AWS Plattformversion gepatcht.
Abhilfe
Informationen zum Aktualisieren eines vorhandenen Service, einschließlich seiner Plattformversion, finden Sie unter Aktualisieren eines Service im Amazon Elastic Container Service Developer Guide.
[ECS.12] ECS Cluster sollten Container Insights verwenden
Verwandte Anforderungen: NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::ECS::Cluster
AWS Config-Regel: ecs-container-insights-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ECS Cluster Container Insights verwenden. Dieses Steuerelement schlägt fehl, wenn Container Insights nicht für einen Cluster eingerichtet ist.
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von ECS Amazon-Clustern. Verwenden Sie CloudWatch Container Insights, um Metriken und Protokolle aus Ihren containerisierten Anwendungen und Microservices zu sammeln, zu aggregieren und zusammenzufassen. CloudWatch sammelt automatisch Metriken für viele Ressourcen wie ArbeitsspeicherCPU, Festplatte und Netzwerk. Container Insights bietet auch Diagnoseinformationen, wie z. B.Fehler beim Container-Neustart, damit Sie Probleme schnell aufdecken und beheben können. Sie können auch CloudWatch Alarme für Metriken einrichten, die Container Insights sammelt.
Abhilfe
Informationen zur Verwendung von Container Insights finden Sie unter Service aktualisieren im CloudWatch Amazon-Benutzerhandbuch.
[ECS.13] ECS Dienste sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::ECS::Service
AWS Config Regel: tagged-ecs-service (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein ECS Amazon-Service Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der Service keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Dienst mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem ECS Service finden Sie unter Tagging your Amazon ECS Resources im Amazon Elastic Container Service Developer Guide.
[ECS.14] ECS Cluster sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::ECS::Cluster
AWS Config Regel: tagged-ecs-cluster (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein ECS Amazon-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem ECS Cluster finden Sie unter Tagging your Amazon ECS Resources im Amazon Elastic Container Service Developer Guide.
[ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::ECS::TaskDefinition
AWS Config Regel: tagged-ecs-taskdefinition (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine ECS Amazon-Aufgabendefinition Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn die Aufgabendefinition keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Aufgabendefinition mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer ECS Aufgabendefinition finden Sie unter Tagging your Amazon ECS Resources im Amazon Elastic Container Service Developer Guide.
[ECS.16] ECS Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
Verwandte Anforderungen: PCI DSS v4.0.1/1.4.4
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::ECS::TaskSet
AWS Config Regel: ecs-taskset-assign-public-ip-disabled (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein ECS Amazon-Task-Set so konfiguriert ist, dass öffentliche IP-Adressen automatisch zugewiesen werden. Die Steuerung schlägt fehl, wenn sie auf gesetzt AssignPublicIP istENABLED.
Eine öffentliche IP-Adresse ist über das Internet erreichbar. Wenn Sie Ihr Task-Set mit einer öffentlichen IP-Adresse konfigurieren, können die mit dem Task-Set verknüpften Ressourcen über das Internet erreicht werden. ECSTasksets sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Container-Anwendungsserver ermöglichen kann.
Abhilfe
Informationen zum Aktualisieren eines ECS Tasksets, sodass er keine öffentliche IP-Adresse verwendet, finden Sie unter Aktualisieren einer ECS Amazon-Aufgabendefinition mithilfe der Konsole im Amazon Elastic Container Service Developer Guide.
