Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM-Steuerungen für Amazon SES
Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Simple Email Service (Amazon SES).
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden
**Kategorie:** Identifizieren > Inventar > Tagging
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::SES::ContactList`
**AWS Config Regel:** `tagged-ses-contactlist` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon SES SES-Kontaktliste Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Kontrolle schlägt fehl, wenn die Kontaktliste keine Tag-Schlüssel enthält oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Kontaktliste mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.
**Anmerkung**
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*
### Abhilfe
Informationen zum Hinzufügen von Tags zu einer Amazon SES-Kontaktliste finden Sie [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)in der *Amazon SES API v2-Referenz*.
## [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
**Kategorie:** Identifizieren > Inventar > Kennzeichnung
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::SES::ConfigurationSet`
**AWS Config Regel:** `tagged-ses-configurationset` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon SES SES-Konfigurationssatz Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind`requiredTagKeys`. Die Steuerung schlägt fehl, wenn der Konfigurationssatz keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthält`requiredTagKeys`. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Konfigurationssatz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.
**Anmerkung**
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*
### Abhilfe
Informationen zum Hinzufügen von Tags zu einem Amazon SES-Konfigurationssatz finden Sie [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)in der *Amazon SES API v2-Referenz*.
## [SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SES::ConfigurationSet`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob ein Amazon SES SES-Konfigurationssatz TLS-Verbindungen erfordert. Die Steuerung schlägt fehl, wenn die TLS-Richtlinie `'REQUIRE'` für einen Konfigurationssatz nicht auf eingestellt ist.
Standardmäßig verwendet Amazon SES opportunistisches TLS, was bedeutet, dass E-Mails unverschlüsselt gesendet werden können, wenn keine TLS-Verbindung mit dem empfangenden E-Mail-Server hergestellt werden kann. Durch die Durchsetzung von TLS für den E-Mail-Versand wird sichergestellt, dass Nachrichten nur zugestellt werden, wenn eine sichere, verschlüsselte Verbindung hergestellt werden kann. Dies trägt dazu bei, die Vertraulichkeit und Integrität von E-Mail-Inhalten während der Übertragung zwischen Amazon SES und dem E-Mail-Server des Empfängers zu schützen. Wenn keine sichere TLS-Verbindung hergestellt werden kann, wird die Nachricht nicht zugestellt, wodurch die potenzielle Offenlegung vertraulicher Informationen verhindert wird.
**Anmerkung**
Obwohl TLS 1.3 die Standardzustellungsmethode für Amazon SES ist, ohne dass die TLS-Anforderungen durch Konfigurationssätze durchgesetzt werden, könnten Nachrichten möglicherweise im Klartext zugestellt werden, wenn eine TLS-Verbindung fehlschlägt. Um diese Kontrolle zu übergeben, müssen Sie die TLS-Richtlinie `'REQUIRE'` in den Zustellungsoptionen Ihres SES-Konfigurationssatzes entsprechend konfigurieren. Wenn TLS erforderlich ist, werden Nachrichten nur zugestellt, wenn eine TLS-Verbindung mit dem empfangenden Mailserver hergestellt werden kann.
### Abhilfe
Informationen zur Konfiguration von Amazon SES so, dass TLS-Verbindungen für einen Konfigurationssatz erforderlich sind, finden Sie unter [Amazon SES und Sicherheitsprotokolle](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) im *Amazon SES Developer Guide*.