Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para AWS CloudFormation
Estos controles de Security Hub evalúan la AWS CloudFormation servicio y recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[CloudFormation.1] las CloudFormation pilas deberían estar integradas con Simple Notification Service () SNS
importante
Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST .800-53.r5 SI-4 (12), .800-53.r5 SI-4 (5) NIST
Categoría: Detectar > Servicios de detección > Supervisión de aplicaciones
Gravedad: baja
Tipo de recurso: AWS::CloudFormation::Stack
AWS Config regla: cloudformation-stack-notification-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una notificación de Amazon Simple Notification Service está integrada con un AWS CloudFormation pila. El control de una CloudFormation pila falla si no hay ninguna SNS notificación asociada a ella.
La configuración de una SNS notificación con tu CloudFormation pila ayuda a notificar inmediatamente a las partes interesadas cualquier evento o cambio que se produzca en la pila.
Corrección
Para integrar una CloudFormation pila y un SNS tema, consulta Cómo actualizar las pilas directamente en la AWS CloudFormation Guía del usuario.
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::CloudFormation::Stack
AWS Config regla: tagged-cloudformation-stack (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS requisitos | Sin valor predeterminado |
Este control comprueba si un AWS CloudFormation la pila tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la pila no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la pila no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.
Corrección
Para añadir etiquetas a una CloudFormation pila, consulte CreateStacken la AWS CloudFormation APIReferencia.
