Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Secrets Manager
Diese AWS Security Hub Kontrollen bewerten den AWS Secrets Manager Service und die Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9 PCI DSS
Kategorie: Schutz > Sichere Entwicklung
Schweregrad: Mittel
Art der Ressource: AWS::SecretsManager::Secret
AWS Config -Regel: secretsmanager-rotation-enabled-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Höchstzulässige Anzahl von Tagen für die geheime Rotationsfrequenz |
Ganzzahl |
|
Kein Standardwert |
Dieses Steuerelement prüft, ob ein in gespeichertes Geheimnis mit automatischer Rotation konfiguriert AWS Secrets Manager ist. Die Steuerung schlägt fehl, wenn das Geheimnis nicht mit automatischer Rotation konfiguriert ist. Wenn Sie einen benutzerdefinierten Wert für den maximumAllowedRotationFrequency Parameter angeben, ist die Kontrolle nur erfolgreich, wenn das Geheimnis innerhalb des angegebenen Zeitfensters automatisch rotiert wird.
Secrets Manager hilft Ihnen, die Sicherheitslage Ihres Unternehmens zu verbessern. Zu den Geheimnissen gehören Datenbankanmeldedaten, Passwörter und API Schlüssel von Drittanbietern. Sie können Secrets Manager verwenden, um Geheimnisse zentral zu speichern, Geheimnisse automatisch zu verschlüsseln, den Zugriff auf Geheimnisse zu kontrollieren und Geheimnisse sicher und automatisch zu rotieren.
Secrets Manager kann Geheimnisse rotieren. Sie können die Rotation verwenden, um langfristige Geheimnisse durch kurzfristige zu ersetzen. Durch die Rotation Ihrer Geheimnisse wird begrenzt, wie lange ein nicht autorisierter Benutzer ein kompromittiertes Geheimnis verwenden kann. Aus diesem Grund sollten Sie Ihre Geheimnisse häufig wechseln. Weitere Informationen zur Rotation findest du unter Rotation deiner AWS Secrets Manager Geheimnisse im AWS Secrets Manager Benutzerhandbuch.
Abhilfe
Informationen zum Aktivieren der automatischen Rotation für Secrets Manager-Secrets finden Sie unter Automatische Rotation für AWS Secrets Manager Secrets mithilfe der Konsole einrichten im AWS Secrets Manager Benutzerhandbuch. Sie müssen eine AWS Lambda Funktion für die Rotation auswählen und konfigurieren.
[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9 PCI DSS
Kategorie: Schutz > Sichere Entwicklung
Schweregrad: Mittel
Art der Ressource: AWS::SecretsManager::Secret
AWS Config -Regel: secretsmanager-scheduled-rotation-success-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft anhand des Rotationsplans, ob ein AWS Secrets Manager Secret erfolgreich rotiert wurde. Wenn RotationOccurringAsScheduled ja, schlägt die Steuerung fehlfalse. Das Steuerelement wertet nur Geheimnisse aus, für die die Rotation aktiviert ist.
Secrets Manager hilft Ihnen, die Sicherheitslage Ihres Unternehmens zu verbessern. Zu den Geheimnissen gehören Datenbankanmeldedaten, Passwörter und API Schlüssel von Drittanbietern. Sie können Secrets Manager verwenden, um Geheimnisse zentral zu speichern, Geheimnisse automatisch zu verschlüsseln, den Zugriff auf Geheimnisse zu kontrollieren und Geheimnisse sicher und automatisch zu rotieren.
Secrets Manager kann Geheimnisse rotieren. Sie können die Rotation verwenden, um langfristige Geheimnisse durch kurzfristige zu ersetzen. Durch die Rotation Ihrer Geheimnisse wird begrenzt, wie lange ein nicht autorisierter Benutzer ein kompromittiertes Geheimnis verwenden kann. Aus diesem Grund sollten Sie Ihre Geheimnisse häufig wechseln.
Zusätzlich zur Konfiguration der automatischen Rotation sollten Sie sicherstellen, dass diese Secrets gemäß dem Rotationsplan erfolgreich rotiert werden.
Weitere Informationen zur Rotation finden Sie unter Rotation Ihrer AWS Secrets Manager Geheimnisse im AWS Secrets Manager Benutzerhandbuch.
Abhilfe
Wenn die automatische Rotation fehlschlägt, sind bei Secrets Manager möglicherweise Fehler bei der Konfiguration aufgetreten. Um Secrets in Secrets Manager zu rotieren, verwenden Sie eine Lambda-Funktion, die definiert, wie mit der Datenbank oder dem Dienst, dem das Geheimnis gehört, interagiert werden soll.
Hilfe zur Diagnose und Behebung häufiger Fehler im Zusammenhang mit der Rotation von Geheimnissen finden Sie unter Fehlerbehebung bei der AWS Secrets Manager Rotation von Geheimnissen im AWS Secrets Manager Benutzerhandbuch.
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::SecretsManager::Secret
AWS Config -Regel: secretsmanager-secret-unused
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Maximale Anzahl von Tagen, an denen ein Geheimnis ungenutzt bleiben kann |
Ganzzahl |
|
|
Dieses Steuerelement prüft, ob innerhalb des angegebenen Zeitraums auf ein AWS Secrets Manager Geheimnis zugegriffen wurde. Die Kontrolle schlägt fehl, wenn ein Geheimnis über den angegebenen Zeitraum hinaus nicht verwendet wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Zugriffszeitraum angeben, verwendet Security Hub einen Standardwert von 90 Tagen.
Das Löschen ungenutzter Geheimnisse ist genauso wichtig wie das Rotieren von Geheimnissen. Ungenutzte Geheimnisse können von ihren früheren Benutzern missbraucht werden, die keinen Zugriff mehr auf diese Geheimnisse benötigen. Da immer mehr Benutzer Zugriff auf ein Geheimnis erhalten, könnte es außerdem sein, dass jemand es falsch behandelt und an eine nicht autorisierte Stelle weitergegeben hat, was das Missbrauchsrisiko erhöht. Das Löschen ungenutzter Geheimnisse hilft dabei, Benutzern, die ihn nicht mehr benötigen, den geheimen Zugriff zu entziehen. Es hilft auch, die Kosten für die Verwendung von Secrets Manager zu senken. Daher ist es wichtig, ungenutzte Geheimnisse routinemäßig zu löschen.
Abhilfe
Informationen zum Löschen inaktiver Secrets Manager-Geheimnisse finden Sie unter Löschen eines AWS Secrets Manager Geheimnisses im AWS Secrets Manager Benutzerhandbuch.
[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9 PCI DSS
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::SecretsManager::Secret
AWS Config -Regel: secretsmanager-secret-periodic-rotation
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Maximale Anzahl von Tagen, an denen ein Geheimnis unverändert bleiben kann |
Ganzzahl |
|
|
Dieses Steuerelement prüft, ob ein AWS Secrets Manager Geheimnis innerhalb des angegebenen Zeitrahmens mindestens einmal rotiert wurde. Die Kontrolle schlägt fehl, wenn ein Geheimnis nicht mindestens so häufig gewechselt wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den Rotationszeitraum angeben, verwendet Security Hub einen Standardwert von 90 Tagen.
Rotierende Geheimnisse können Ihnen helfen, das Risiko einer unbefugten Verwendung Ihrer Geheimnisse in Ihrem zu verringern AWS-Konto. Beispiele hierfür sind Datenbankanmeldedaten, Passwörter, API Schlüssel von Drittanbietern und sogar beliebiger Text. Wenn Sie Ihre Geheimnisse über einen längeren Zeitraum nicht ändern, ist es wahrscheinlicher, dass die Geheimnisse kompromittiert werden.
Je mehr Benutzer Zugriff auf ein Geheimnis erhalten, desto wahrscheinlicher kann es sein, dass jemand falsch damit umgegangen ist und es an eine nicht autorisierte Person weitergegeben hat. Secrets können über Protokolle und Cache-Daten durchsickern. Sie werden ggf. für Debug-Zwecke freigegeben und nicht geändert oder widerrufen, wenn das Debugging abgeschlossen ist. Aus all diesen Gründen sollten Secrets regelmäßig rotiert werden.
Sie können die automatische Rotation von Geheimnissen in konfigurieren. AWS Secrets Manager Mit der automatischen Rotation können Sie langfristige Geheimnisse durch kurzfristige ersetzen, wodurch das Risiko von Kompromissen erheblich reduziert wird. Wir empfehlen Ihnen, die automatische Rotation für Ihre Secrets Manager zu konfigurieren. Weitere Informationen finden Sie unter Rotieren von AWS Secrets Manager -Secrets im AWS Secrets Manager -Benutzerhandbuch.
Abhilfe
Informationen zum Aktivieren der automatischen Rotation für Secrets Manager-Secrets finden Sie unter Automatische Rotation für AWS Secrets Manager Secrets mithilfe der Konsole einrichten im AWS Secrets Manager Benutzerhandbuch. Sie müssen eine AWS Lambda Funktion für die Rotation auswählen und konfigurieren.
[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::SecretsManager::Secret
AWS Config Regel: tagged-secretsmanager-secret (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Dieses Steuerelement prüft, ob ein AWS Secrets Manager Secret Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn das Geheimnis keine Tagschlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Geheimnis mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem Secrets Manager Manager-Geheimnis finden Sie unter AWS Secrets Manager Taggeheimnisse im AWS Secrets Manager Benutzerhandbuch.
