Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon CloudFront
Estos AWS Security Hub CSPM controles evalúan el CloudFront servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
**Requisitos relacionados:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
**Categoría**: Proteger > Gestión del acceso seguro > Recursos que no son de acceso público
**Gravedad:** alta
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una CloudFront distribución de Amazon con orígenes S3 está configurada para devolver un objeto específico que es el objeto raíz predeterminado. El control falla si la CloudFront distribución usa orígenes de S3 y no tiene configurado un objeto raíz predeterminado. Este control no se aplica a CloudFront las distribuciones que utilizan orígenes personalizados.
A veces, un usuario puede solicitar la URL raíz de la distribución en lugar de un objeto de la distribución. Cuando esto ocurre, especificar un objeto raíz predeterminado puede ayudarle a evitar la exposición del contenido de su distribución web.
### Corrección
Para configurar un objeto raíz predeterminado para una CloudFront distribución, consulte [Cómo especificar un objeto raíz predeterminado](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una CloudFront distribución de Amazon requiere que los espectadores utilicen HTTPS directamente o si utiliza la redirección. El control falla si `ViewerProtocolPolicy` está configurado como `allow-all` para `defaultCacheBehavior` o para `cacheBehaviors`.
El protocolo HTTPS (TLS) se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS). El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS.
### Corrección
Para cifrar una CloudFront distribución en tránsito, consulte [Exigir HTTPS para la comunicación entre espectadores y CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIst.800-53.r5 SI-13 (5)
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** baja
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una CloudFront distribución de Amazon está configurada con un grupo de origen que tiene dos o más orígenes.
CloudFront La conmutación por error de origen puede aumentar la disponibilidad. La conmutación por error de Origin redirige automáticamente el tráfico a un origen secundario si el origen principal no está disponible o si devuelve códigos de estado de respuesta HTTP específicos.
### Corrección
Para configurar la conmutación por error de origen para una CloudFront distribución, consulta [Cómo crear un grupo de origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), Nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si el registro de acceso al servidor está habilitado en las distribuciones. CloudFront El control falla si el registro de acceso no está habilitado para una distribución. Este control solo evalúa si el registro estándar (heredado) está habilitado para una distribución.
CloudFront los registros de acceso proporcionan información detallada sobre cada solicitud de usuario que CloudFront recibe. Cada registro contiene información como la fecha y la hora en que se recibió la solicitud, la dirección IP del espectador que realizó la solicitud, el origen de la solicitud y el número de puerto de la solicitud del espectador. Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso y para investigaciones forenses. Para obtener más información sobre el análisis de los registros de acceso, consulte [Consulta CloudFront los registros de Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) en la Guía del *usuario de Amazon Athena*.
### Corrección
Para configurar el registro estándar (heredado) para una CloudFront distribución, consulte [Configurar el registro estándar (heredado)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.6] CloudFront las distribuciones deben tener WAF activado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
**Categoría**: Proteger > Servicios de protección
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si las CloudFront distribuciones están asociadas a la versión clásica o a la web. AWS WAF AWS WAF ACLs El control falla si la distribución no está asociada a una ACL web.
AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web contra APIs los ataques. Le permite configurar un conjunto de reglas denominadas lista de control de acceso web (Web ACL) que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que su CloudFront distribución esté asociada a una ACL AWS WAF web para protegerla de ataques malintencionados.
### Corrección
Para asociar una ACL AWS WAF web a una CloudFront distribución, consulte [Uso AWS WAF para controlar el acceso a su contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIst.800-171.r2 3.13.15
**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** baja
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si CloudFront las distribuciones utilizan el SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado predeterminado.
SSL/TLS Permita a sus usuarios acceder al contenido mediante nombres de dominio alternativos. Puede almacenar los certificados personalizados en AWS Certificate Manager (recomendado) o en IAM.
### Corrección
*Para añadir un nombre de dominio alternativo a una CloudFront distribución mediante un certificado SSL/TLS personalizado, consulte [Añadir un nombre de dominio alternativo en](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) la Guía para desarrolladores de Amazon. CloudFront *
## [CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** baja
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si CloudFront las distribuciones de Amazon utilizan un SSL/TLS certificado personalizado y si están configuradas para utilizar el SNI para atender las solicitudes HTTPS. Este control falla si hay asociado un SSL/TLS certificado personalizado pero el método de SSL/TLS soporte es una dirección IP dedicada.
Server Name Indication (SNI) (Indicación de nombre de servidor [SNI]) es una extensión del protocolo TLS que admiten los navegadores y clientes disponibles desde 2010. Si se configura CloudFront para atender las solicitudes HTTPS mediante el SNI, CloudFront asocie su nombre de dominio alternativo a una dirección IP para cada ubicación perimetral. Cuando un espectador envía una solicitud HTTPS de contenido, el servicio DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de tu nombre de dominio se determina durante la negociación del SSL/TLS protocolo de enlace; la dirección IP no está dedicada a tu distribución.
### Corrección
Para configurar una CloudFront distribución que utilice el SNI para atender las solicitudes HTTPS, consulte [Uso del SNI para atender las solicitudes HTTPS (funciona para la mayoría de los clientes) en la CloudFront Guía para](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) desarrolladores. Para obtener información sobre los certificados SSL personalizados, consulte [Requisitos para usar SSL/TLS certificados con](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html). CloudFront
## [CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si CloudFront las distribuciones de Amazon están cifrando el tráfico hacia orígenes personalizados. Este control falla en el caso de una CloudFront distribución cuya política de protocolo de origen permite «solo http». Este control también falla si la política de protocolo de origen de la distribución es “match-viewer”, mientras que la política de protocolo de visor es “permisible para todos”.
El protocolo HTTPS (TLS) se puede utilizar para evitar el espionaje o la manipulación del tráfico de la red. Solo se deben permitir las conexiones cifradas a través de HTTPS (TLS).
### Corrección
Para actualizar la política de protocolo de origen para que exija el cifrado de una CloudFront conexión, consulta la [sección Exigir HTTPS para la comunicación entre CloudFront y tu origen personalizado](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, (4), (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIst.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8
**Categoría**: Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si CloudFront las distribuciones de Amazon utilizan protocolos SSL obsoletos para la comunicación HTTPS entre las ubicaciones de CloudFront borde y sus orígenes personalizados. Este control falla si una CloudFront distribución tiene un «`CustomOriginConfig`where `OriginSslProtocols` includes». `SSLv3`
En 2015, el Internet Engineering Task Force (IETF) anunció oficialmente que el SSL 3.0 debería quedar obsoleto debido a que el protocolo no era lo suficientemente seguro. Se recomienda utilizar TLSv1 .2 o una versión posterior para la comunicación HTTPS con sus orígenes personalizados.
### Corrección
Para actualizar los protocolos SSL de Origin de una CloudFront distribución, consulta la sección [Exigir HTTPS para la comunicación entre CloudFront y tu origen personalizado](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6
**Categoría**: Identificar > Configuración de recursos
**Gravedad:** alta
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si CloudFront las distribuciones de Amazon apuntan a orígenes de Amazon S3 inexistentes. El control de una CloudFront distribución falla si el origen está configurado para apuntar a un bucket inexistente. Este control solo se aplica a CloudFront las distribuciones en las que el origen de S3 es un bucket de S3 sin alojamiento de sitios web estáticos.
Cuando una CloudFront distribución de tu cuenta está configurada para apuntar a un depósito que no existe, un tercero malintencionado puede crear el depósito al que se hace referencia y publicar su propio contenido a través de tu distribución. Recomendamos comprobar todos los orígenes, independientemente del comportamiento de enrutamiento, para asegurarse de que sus distribuciones apuntan a los orígenes adecuados.
### Corrección
Para modificar una CloudFront distribución para que apunte a un nuevo origen, consulta [Actualización de una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una CloudFront distribución de Amazon con origen en Amazon S3 tiene configurado el control de acceso al origen (OAC). El control falla si el OAC no está configurado para la CloudFront distribución.
Si utiliza un bucket de S3 como origen para la CloudFront distribución, puede habilitar el OAC. Esto permite el acceso al contenido del depósito únicamente a través de la CloudFront distribución especificada y prohíbe el acceso directo desde el depósito u otra distribución. Si bien CloudFront es compatible con Origin Access Identity (OAI), OAC ofrece funciones adicionales y las distribuciones que utilizan OAI pueden migrar a OAC. Si bien la OAI proporciona una forma segura de acceder a los orígenes de S3, tiene limitaciones, como la falta de compatibilidad con configuraciones de políticas detalladas y con HTTP/HTTPS solicitudes que utilizan el método POST y Regiones de AWS que requieren la AWS firma de la versión 4 (SiGv4). La OAI tampoco admite el cifrado con. AWS Key Management Service La OAC se basa en la práctica AWS recomendada de utilizar los principios del servicio de IAM para autenticarse con orígenes de S3.
### Corrección
Para configurar el OAC para una CloudFront distribución con orígenes S3, consulte [Restringir el acceso a un origen de Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.
## [CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**AWS Config regla:** `tagged-cloudfront-distribution` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si una CloudFront distribución de Amazon tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control lanza un error si la distribución no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la distribución no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte [Etiquetado de recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en la *Referencia general de AWS*.
### Corrección
Para añadir etiquetas a una CloudFront distribución, consulta Cómo [etiquetar CloudFront distribuciones de Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) en la Guía para * CloudFront desarrolladores de Amazon*.
## [CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** `securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (no personalizables)
Este control comprueba si una CloudFront distribución de Amazon está configurada para usar una política de seguridad TLS recomendada. El control falla si la CloudFront distribución no está configurada para usar una política de seguridad de TLS recomendada.
Si configuras una CloudFront distribución de Amazon para que los espectadores usen HTTPS para acceder al contenido, debes elegir una política de seguridad y especificar la versión mínima del SSL/TLS protocolo que se debe usar. Esto determina qué versión del protocolo se CloudFront utiliza para comunicarse con los espectadores y los cifrados que se CloudFront utilizan para cifrar las comunicaciones. Se recomienda utilizar la política de seguridad más reciente que se CloudFront proporcione. Esto garantiza que CloudFront utilice los conjuntos de cifrado más recientes para cifrar los datos en tránsito entre un espectador y una CloudFront distribución.
**nota**
Este control genera resultados solo para CloudFront las distribuciones que están configuradas para usar certificados SSL personalizados y no están configuradas para admitir clientes antiguos.
### Corrección
Para obtener información sobre la configuración de la política de seguridad de una CloudFront distribución, consulte [Actualizar una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) en la *Guía para CloudFront desarrolladores de Amazon*. Cuando configure la política de seguridad para una distribución, elija la política de seguridad más reciente.
## [CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda
**Categoría:** Proteger - Administración de acceso seguro > Control de acceso
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una CloudFront distribución de Amazon con una URL de AWS Lambda función como origen tiene activado el control de acceso al origen (OAC). El control falla si la CloudFront distribución tiene una URL de función Lambda como origen y la OAC no está habilitada.
AWS Lambda La URL de una función es un punto final HTTPS dedicado para una función Lambda. Si la URL de una función Lambda es el origen de una CloudFront distribución, la URL de la función debe ser de acceso público. Por lo tanto, como práctica recomendada de seguridad, debe crear un OAC y agregarlo a la URL de función de Lambda en una distribución. La OAC utiliza los principios del servicio de IAM para autenticar las solicitudes entre CloudFront y la URL de la función. También admite el uso de políticas basadas en recursos para permitir la invocación de una función solo si la solicitud es en nombre de una distribución especificada en la política. CloudFront
### Corrección
Para obtener información sobre cómo configurar la OAC para una CloudFront distribución de Amazon que utiliza una URL de función Lambda como origen, [consulte Restringir el acceso al origen de AWS Lambda una URL de función](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) en la Guía para desarrolladores de * CloudFront Amazon*.
## [CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs
**Categoría:** Proteger - Administración de acceso seguro > Control de acceso
**Gravedad:** media
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una CloudFront distribución de Amazon está configurada para utilizar grupos de claves de confianza para la autenticación de URL o cookies firmadas. El control falla si la CloudFront distribución utiliza firmantes de confianza o si no tiene configurada la autenticación.
Para usar cookies firmadas URLs o firmadas, necesita un firmante. Un firmante es un grupo de claves de confianza en CloudFront el que se crea o una AWS cuenta que contiene un par de CloudFront claves. Te recomendamos que utilices grupos de claves de confianza, ya que con los grupos de CloudFront claves no necesitas usar el usuario raíz de la AWS cuenta para administrar las claves públicas de las cookies CloudFront firmadas URLs y firmadas.
**nota**
Este control no evalúa las CloudFront distribuciones `(connectionMode=tenant-only)` multiusuario.
### Corrección
Para obtener información sobre el uso de grupos de claves de confianza con firmas URLs y cookies, consulte [Uso de grupos de claves de confianza](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) en la *Guía para CloudFront desarrolladores de Amazon*.