Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon ECS
Estos controles CSPM de Security Hub evalúan el servicio y los recursos de Amazon Elastic Container Service (Amazon ECS). Es posible que los controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario
**importante**
Security Hub CSPM retiró este control en marzo de 2026. Para obtener más información, consulte [Registro de cambios de los controles del CSPM de Security Hub](controls-change-log.md). Puede consultar los siguientes controles para evaluar la configuración privilegiada, la configuración en modo de red y la configuración de usuario:
[[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](#ecs-4)
[[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](#ecs-17)
[[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](#ecs-20)
[[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](#ecs-21)
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Categoría:** Proteger - Administración de acceso seguro
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `SkipInactiveTaskDefinitions`: `true` (no personalizable)
Este control comprueba si una definición de tarea de Amazon ECS activa con el modo de red de host tiene definiciones de contenedor de `privileged` o `user`. El control falla para definiciones de tarea que tienen modo de red host y definiciones de contenedor de `privileged=false`, vacío y `user=root`, o vacío.
Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.
El objetivo de este control es garantizar que el acceso se defina intencionalmente cuando se ejecutan tareas que utilizan el modo de red host. Si la definición de una tarea tiene privilegios elevados, es porque ha elegido esa configuración. Este control comprueba si hay una escalada inesperada de privilegios cuando la definición de una tarea tiene habilitada la red host y no se eligen privilegios elevados.
### Corrección
Para obtener información sobre cómo actualizar una definición de tarea, consulte [Actualización de una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
Al actualizar una definición de tarea, no se actualizan las tareas en ejecución que se iniciaron a partir de la definición de tarea anterior. Para actualizar una tarea en ejecución, debe volver a implementar la tarea con la nueva definición de tarea.
## [ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::Service`
**AWS Config regla:** `ecs-service-assign-public-ip-disabled` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si los servicios de Amazon ECS están configurados para asignar direcciones IP públicas de forma automática. Este control tiene errores si `AssignPublicIP` figura como `ENABLED`. Este control se aprueba si `AssignPublicIP` figura como `DISABLED`.
Una dirección IP pública es una dirección IP a la que se puede tener acceso desde Internet. Si lanza sus instancias de Amazon ECS con una dirección IP pública, podrá acceder a sus instancias de Amazon ECS desde Internet. Los servicios de Amazon ECS no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones contenedoras.
### Corrección
En primer lugar, debe crear una definición de tareas para el clúster que utilice el modo de red `awsvpc` y especifique **FARGATE** para `requiresCompatibilities`. A continuación, para la **configuración de cómputo**, elija el **Tipo de lanzamiento** y **FARGATE**. Por último, en el campo **Redes**, desactive la **IP pública** para deshabilitar la asignación automática de IP pública para su servicio.
## [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoría**: Identificar > Configuración de recursos
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si las definiciones de tareas de Amazon ECS están configuradas para compartir el espacio de nombres de procesos de un host con sus contenedores. El control falla si la definición de la tarea comparte el espacio de nombres del proceso del host con los contenedores que se ejecutan en él. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.
Un espacio de nombres de ID de proceso (PID) proporciona separación entre los procesos. Evita que los procesos del sistema sean visibles y permite PIDs su reutilización, incluido el PID 1. Si el espacio de nombres PID del host se comparte con los contenedores, los contenedores podrían ver todos los procesos del sistema anfitrión. Esto reduce la ventaja del aislamiento a nivel de proceso entre el host y los contenedores. Estas circunstancias podrían provocar el acceso no autorizado a los procesos del propio host, incluida la posibilidad de manipularlos y cancelarlos. Los clientes no deberían compartir el espacio de nombres de los procesos del anfitrión con los contenedores que se ejecuten en él.
### Corrección
Para configurar el `pidMode` de la definición de una tarea, consulte [Parámetros de definición de tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) en la Guía para desarrolladores de Amazon Elastic Container Service.
## [ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si el parámetro `privileged` de la definición de contenedor de las definiciones de tareas de Amazon ECS se establece como `true`. El control falla si este parámetro es igual a `true`. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.
Le recomendamos que elimine los privilegios elevados de las definiciones de tareas de ECS. Cuando el parámetro de privilegio es `true`, al contenedor se le conceden privilegios elevados en la instancia de contenedor de host (similares a los de un usuario raíz).
### Corrección
Para configurar el parámetro `privileged` en una definición de tarea, consulte [Parámetros de definición avanzada de contenedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) en la Guía para desarrolladores de Amazon Elastic Container Service.
## [ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoría:** Proteger - Administración de acceso seguro
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si las definiciones de tareas de ECS configuran los contenedores para que se limite al acceso de solo lectura a los sistemas de archivos raíz montados. El control falla si el `readonlyRootFilesystem` parámetro de las definiciones de contenedor de la definición de tareas de ECS está establecido en`false`, o si el parámetro no existe en la definición de contenedor dentro de la definición de tarea. Este control evalúa únicamente la última revisión activa de una definición de tarea de Amazon ECS.
Si el parámetro `readonlyRootFilesystem` está establecido en `true` en una definición de tarea de Amazon ECS, al contenedor de ECS se le concede acceso de solo lectura al sistema de archivos raíz. Esto reduce los vectores de ataque de seguridad, porque el sistema de archivos raíz de la instancia del contenedor no puede ser modificado ni escrito sin montajes de volúmenes explícitos que tengan permisos de lectura y escritura para carpetas y directorios del sistema de archivos. Habilitar esta opción también contribuye a aplicar el principio de privilegio mínimo.
**nota**
El `readonlyRootFilesystem` parámetro no es compatible con los contenedores de Windows. Las definiciones de tareas `runtimePlatform` configuradas para especificar una familia de `WINDOWS_SERVER` sistemas operativos se marcan como `NOT_APPLICABLE` y no generarán resultados para este control.
### Corrección
Para otorgar a un contenedor de Amazon ECS acceso de solo lectura a su sistema de archivos raíz, agregue el parámetro `readonlyRootFilesystem` a la definición de la tarea para el contenedor y establezca el valor del parámetro en `true`. Para obtener información sobre los parámetros de definición de tareas y cómo agregarlos a una definición de tarea, consulte [Definiciones de tareas de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) y [Actualización de una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2
**Categoría:** Proteger > Desarrollo seguro > Credenciales no codificadas
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** `secretKeys`: `AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`,`ECS_ENGINE_AUTH_DATA` (no personalizable)
Este control comprueba si el valor clave de alguna variable del parámetro `environment` de las definiciones de contenedores incluye `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`, o `ECS_ENGINE_AUTH_DATA`. Este control falla si una sola variable de entorno en cualquier definición de contenedor es igual a `AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`, o `ECS_ENGINE_AUTH_DATA`. Este control no cubre las variables de entorno que se transmiten desde otras ubicaciones, como Amazon S3. Este control solo evalúa la última revisión activa de una definición de tarea de Amazon ECS.
AWS Systems Manager Parameter Store puede ayudarlo a mejorar la postura de seguridad de su organización. Le recomendamos que utilice el almacén de parámetros para almacenar los secretos y las credenciales en lugar de pasarlos directamente a las instancias contenedoras o codificarlos en el código.
### Corrección
Para crear parámetros mediante SSM, consulte [Creación de parámetros de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) en la *Guía del usuario de AWS Systems Manager *. Para obtener más información sobre cómo crear una definición de tarea que especifique un secreto, consulte [Especificar datos confidenciales mediante Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-7 (8)
**Categoría:** Identificar - Registro
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**AWS Config regla ecs-task-definition-log**[:](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html) -configuración
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si la última definición de tarea activa de Amazon ECS tiene una configuración de registro especificada. El control falla si la definición de la tarea no tiene la propiedad definida `logConfiguration` o si el valor `logDriver` es null en al menos una definición de contenedor.
El registro le ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de Amazon ECS. La recopilación de datos de las definiciones de tareas proporciona visibilidad, lo que puede ayudarle a depurar los procesos y encontrar la causa raíz de los errores. Si utiliza una solución de registro que no tiene que estar definida en la definición de tareas de ECS (como una solución de registro de terceros), puede deshabilitar este control después de asegurarse de que los registros se capturan y entregan correctamente.
### Corrección
Para definir una configuración de registro para las definiciones de tareas de Amazon ECS, consulte [Especificar una configuración de registro en la definición de tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) de la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate
**Requisitos relacionados:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones
**Gravedad:** media
**Tipo de recurso:** `AWS::ECS::Service`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `latestLinuxVersion: 1.4.0` (no personalizable)
+ `latestWindowsVersion: 1.0.0` (no personalizable)
Este control comprueba si los servicios Fargate de Amazon ECS ejecutan la versión más reciente de la versión de la plataforma Fargate. Este control falla si la versión de la plataforma no es la más reciente.
AWS Fargate las versiones de plataforma se refieren a un entorno de ejecución específico para la infraestructura de tareas de Fargate, que es una combinación de versiones de ejecución de kernel y contenedor. Se lanzan nuevas versiones de la plataforma a medida que evoluciona el tiempo de ejecución. Por ejemplo, se puede lanzar una nueva versión de kernel o del sistema operativo, características nuevas, correcciones de errores o actualizaciones de seguridad. Las actualizaciones y los parches de seguridad se implementan automáticamente para las tareas de Fargate. Si se detecta un problema de seguridad que afecte a una versión de la plataforma, corrija AWS la versión de la plataforma.
### Corrección
Para actualizar un servicio existente, incluida su versión de la plataforma, consulte [Actualización de un servicio](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.12] Los clústeres de ECS deben usar Container Insights
**Requisitos relacionados:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-2
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::ECS::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si los clústeres de ECS utilizan Container Insights. Este control falla si Container Insights no está configurado para un clúster.
La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los clústeres de Amazon ECS. Utilice CloudWatch Container Insights para recopilar, agregar y resumir las métricas y los registros de sus aplicaciones y microservicios contenerizados. CloudWatch recopila automáticamente las métricas de muchos recursos, como la CPU, la memoria, el disco y la red. Información de contenedores también proporciona información de diagnóstico, como, por ejemplo, errores de reinicio de contenedores, para ayudarlo a aislar problemas y solucionarlos rápidamente. También puedes configurar CloudWatch alarmas en las métricas que recopila Container Insights.
### Corrección
Para usar Container Insights, consulta [Actualización de un servicio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) en la *Guía del CloudWatch usuario de Amazon*.
## [ECS.13] Los servicios de ECS deben estar etiquetados
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::ECS::Service`
**AWS Config regla:** `tagged-ecs-service` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si un servicio de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si el servicio no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si el servicio no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a un servicio de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.14] Los clústeres de ECS deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::ECS::Cluster`
**AWS Config regla:** `tagged-ecs-cluster` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si un clúster de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a un clúster de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.15] Las definiciones de tareas de ECS deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**AWS Config regla:** `tagged-ecs-taskdefinition` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si una definición de tarea de Amazon ECS tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control falla si la definición de la tarea no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y falla si la definición de la tarea no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a una definición de tarea de ECS, consulte [Etiquetado de los recursos de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
**Requisitos relacionados:** PCI DSS v4.0.1/1.4.4
**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente
**Gravedad:** alta
**Tipo de recurso:** `AWS::ECS::TaskSet`
**AWS Config regla:** `ecs-taskset-assign-public-ip-disabled` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si los conjuntos de tareas de Amazon ECS están configurados para asignar direcciones IP públicas de forma automática. El control tiene errores si `AssignPublicIP` está configurado como `ENABLED`,
Una dirección IP pública es una dirección a la que se puede tener acceso desde Internet. Si configura el conjunto de tareas con una dirección IP pública, se puede acceder a los recursos asociados al conjunto de tareas desde Internet. Los conjuntos de tareas de ECS no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a los servidores de aplicaciones contenedoras.
### Corrección
Para actualizar un conjunto de tareas de ECS para que no utilice una dirección IP pública, consulte [Actualización de una definición de tareas de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control verifica si la última revisión activa de una definición de tarea de Amazon ECS utiliza el modo de red de `host`. El control falla si la última revisión activa de la definición de tarea de ECS usa el modo de red de `host`.
Cuando se usa el modo de red de `host`, la red de un contenedor de Amazon ECS está vinculada directamente al host subyacente que ejecuta el contenedor. Como consecuencia, este modo permite que los contenedores se conecten a los servicios de red de retrobucle privados del host y que puedan hacerse pasar por el propio host. Otros inconvenientes importantes son que no existe ninguna forma de reasignar un puerto del contenedor cuando se utiliza el modo de red `host`, y que no puede ejecutar más de una sola instanciación de una tarea en cada host.
### Corrección
Para obtener información sobre los modos y las opciones de red para tareas de Amazon ECS que se alojan en instancias de Amazon EC2, consulte [Opciones de redes de tareas de Amazon ECS para el tipo de lanzamiento de EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) en la *Guía del desarrollador de Amazon Elastic Container Service*. Para obtener información sobre cómo crear una nueva revisión de una definición de tarea y especificar un modo de red diferente, consulte [Actualización de una definición de tarea de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) en esa guía.
Si la definición de tarea de Amazon ECS la creó AWS Batch, consulte [Modos de red para AWS Batch trabajos para](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) obtener información sobre los modos de red y el uso típico de los tipos de AWS Batch trabajo y para elegir una opción segura.
## [ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS
**Categoría: Proteger > Cifrado** de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS utiliza el cifrado en tránsito para los volúmenes de EFS. El control falla si la última revisión activa de la definición de tarea de ECS tiene deshabilitado el cifrado en tránsito para los volúmenes de EFS.
Los volúmenes de Amazon EFS proporcionan un almacenamiento de archivos compartido simple, escalable y persistente para usarlo en sus tareas de Amazon ECS. Amazon EFS admite el cifrado de datos en tránsito con seguridad de la capa de transporte (TLS). Cuando el cifrado de datos en tránsito se declara como una opción de montaje para su sistema de archivos de EFS, Amazon EFS establece una conexión TLS segura con su sistema de archivos de EFS al montarlo.
### Corrección
Para obtener información sobre cómo habilitar el cifrado en tránsito para la definición de tareas de Amazon ECS con volúmenes de EFS, consulte el [paso 5: Crear una definición de tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada
**Categoría:** Proteger > Protección de datos
**Gravedad:** media
**Tipo de recurso:** `AWS::ECS::CapacityProvider`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un proveedor de capacidad de Amazon ECS ha activado la protección de terminación gestionada. El control falla si la protección de terminación administrada no está habilitada en un proveedor de capacidad de ECS.
Los proveedores de capacidad de Amazon ECS administran el escalado de la infraestructura para las tareas de los clústeres. Cuando utiliza instancias de Amazon EC2 para su capacidad, utiliza grupos de escalado automático para administrar las instancias de Amazon EC2. La protección contra la terminación administrada permite que el escalado automático de clústeres controle qué instancias se terminan. Cuando utiliza la protección contra la terminación administrada, Amazon ECS solo termina las instancias de EC2 que no tienen ninguna tarea de Amazon ECS en ejecución.
**nota**
Cuando se utiliza la protección de terminación administrada, también se debe usar el escalado administrado, porque, de lo contrario, la protección de terminación administrada no funciona.
### Corrección
Para habilitar la protección de terminación administrada para un proveedor de capacidad de Amazon ECS, consulte [Actualización de la protección de terminación administrada para los proveedores de capacidad de Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux
**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz
**Gravedad:** media
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS configura los contenedores de Linux para que se ejecuten como usuarios no root. El control falla si hay configurado un usuario root predeterminado o si no hay ninguna configuración de usuario para algún contenedor.
Cuando los contenedores de Linux se ejecutan con privilegios de root, presentan varios riesgos de seguridad importantes. Los usuarios root tienen acceso ilimitado al contenedor. Este acceso elevado aumenta el riesgo de que se produzcan ataques de escape de contenedores, en los que un atacante podría romper el aislamiento del contenedor y acceder al sistema host subyacente. Si un contenedor que funciona como root se ve comprometido, los atacantes podrían aprovecharlo para acceder a los recursos del sistema anfitrión o modificarlos, lo que afectaría a otros contenedores o al propio host. Además, el acceso root podría permitir ataques de escalada de privilegios, lo que permitiría a los atacantes obtener permisos adicionales más allá del alcance previsto para el contenedor. El parámetro de usuario de las definiciones de tareas de ECS puede especificar los usuarios en varios formatos, como el nombre de usuario, el ID de usuario, el nombre de usuario con grupo o el UID con ID de grupo. Es importante tener en cuenta estos diversos formatos al configurar las definiciones de tareas para garantizar que no se conceda ningún acceso root por error. Siguiendo el principio de privilegios mínimos, los contenedores deben ejecutarse con los permisos mínimos requeridos y deben ser utilizados por usuarios que no sean root. Este enfoque reduce considerablemente la superficie de ataque potencial y mitiga el impacto de posibles brechas de seguridad.
**nota**
Este control solo evalúa las definiciones de contenedor en una definición de tarea si `operatingSystemFamily` está configurado `LINUX` o `operatingSystemFamily` no en la definición de tarea. El control generará un `FAILED` resultado para una definición de tarea evaluada si alguna de las definiciones de contenedor de la definición de tarea `user` no se ha configurado o `user` configurado como usuario root predeterminado. Los usuarios raíz predeterminados de los `LINUX` contenedores son `"root"` y`"0"`.
### Corrección
Para obtener información sobre la creación de una nueva revisión de una definición de tarea de Amazon ECS y la actualización del `user` parámetro en la definición del contenedor, consulte [Actualización de una definición de tarea de Amazon ECS en la](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Guía para desarrolladores de Amazon Elastic Container Service*.
## [ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows
**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz
**Gravedad:** media
**Tipo de recurso:** `AWS::ECS::TaskDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si la última revisión activa de una definición de tarea de Amazon ECS configura los contenedores de Windows para que se ejecuten como usuarios que no son administradores predeterminados. El control falla si un administrador predeterminado está configurado como usuario o si no hay ninguna configuración de usuario en ningún contenedor.
Cuando los contenedores de Windows se ejecutan con privilegios de administrador, presentan varios riesgos de seguridad importantes. Los administradores tienen acceso ilimitado al contenedor. Este acceso elevado aumenta el riesgo de que se produzcan ataques de escape de contenedores, en los que un atacante podría romper el aislamiento del contenedor y acceder al sistema host subyacente.
**nota**
Este control solo evalúa las definiciones de contenedor en una definición de tarea si `operatingSystemFamily` está configurado `WINDOWS_SERVER` o `operatingSystemFamily` no en la definición de tarea. El control generará un `FAILED` resultado para una definición de tarea evaluada si alguna definición de contenedor de la definición de tarea `user` no se ha configurado o `user` configurado como administrador predeterminado para `WINDOWS_SERVER` los contenedores, es `"containeradministrator"` decir.
### Corrección
Para obtener información sobre la creación de una nueva revisión de una definición de tarea de Amazon ECS y la actualización del `user` parámetro en la definición del contenedor, consulte [Actualización de una definición de tarea de Amazon ECS en la](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Guía para desarrolladores de Amazon Elastic Container Service*.