Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Secrets Manager
Estos AWS Security Hub controles evalúan el AWS Secrets Manager servicio y los recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9 PCI DSS
Categoría: Proteger - Desarrollo seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
Regla de AWS Config : secretsmanager-rotation-enabled-check
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número máximo de días permitidos para la frecuencia de rotación del secreto |
Entero |
De |
Sin valor predeterminado |
Este control comprueba si un secreto almacenado en está configurado con rotación automática. AWS Secrets Manager Se produce un error en el control si el secreto no está configurado con rotación automática. Si proporciona un valor personalizado para el parámetro maximumAllowedRotationFrequency, el control solo pasa si el secreto gira automáticamente dentro del margen de tiempo especificado.
Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen las credenciales de la base de datos, las contraseñas y API las claves de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.
Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia. Para obtener más información sobre la rotación, consulte Cómo rotar sus AWS Secrets Manager datos secretos en la Guía del AWS Secrets Manager usuario.
Corrección
Para activar la rotación automática de los secretos de Secrets Manager, consulte Configurar la rotación automática de AWS Secrets Manager los secretos mediante la consola en la Guía del AWS Secrets Manager usuario. Debe elegir y configurar una AWS Lambda función de rotación.
[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente
Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9 PCI DSS
Categoría: Proteger - Desarrollo seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
Regla de AWS Config : secretsmanager-scheduled-rotation-success-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un secreto se ha rotado correctamente en función del programa de rotación. AWS Secrets Manager El control tiene errores si RotationOccurringAsScheduled es false. El control solo evalúa los secretos que tienen la renovación activada.
Secrets Manager le ayuda a mejorar la posición de seguridad de la organización. Los secretos incluyen las credenciales de la base de datos, las contraseñas y API las claves de terceros. Puede usar Secrets Manager para almacenar secretos de forma centralizada, cifrarlos automáticamente, controlar el acceso a los secretos y renovar los secretos de forma segura y automática.
Secrets Manager puede renovar secretos. Puede usar la rotación para reemplazar los secretos a largo plazo por secretos a corto plazo. La renovar de sus secretos limita el tiempo que un usuario no autorizado puede usar un secreto comprometido. Por este motivo, debe renovar sus secretos con frecuencia.
Además de configurar los secretos para que giren automáticamente, debe asegurarse de que esos secretos giren correctamente según el programa de renovación.
Para obtener más información sobre la renovación, consulte Cómo renovar sus secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager .
Corrección
Si se produce un error en la renovación automática, es posible que Secrets Manager haya detectado errores en la configuración. La rotación de secretos en requiere el uso de una función de Lambda que defina cómo interactuar con la base de datos o el servicio al que pertenece el secreto.
Para obtener ayuda para diagnosticar y corregir errores comunes relacionados con la rotación de secretos, consulte Solución de problemas de AWS Secrets Manager rotación de secretos en la Guía del AWS Secrets Manager usuario.
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
Regla de AWS Config : secretsmanager-secret-unused
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número máximo de días durante el que un secreto puede permanecer sin uso |
Entero |
De |
|
Este control comprueba si se ha accedido a un AWS Secrets Manager secreto en el plazo especificado. Se produce un error en el control si un secreto no se utiliza más allá del periodo especificado. A menos que se proporcione un valor personalizado de parámetro para el periodo de acceso, Security Hub utiliza un valor predeterminado de 90 días.
Eliminar los secretos no utilizados es tan importante como renovarlos. Los antiguos usuarios pueden abusar de los secretos no utilizados, ya que ya no necesitan acceder a ellos. Además, a medida que más usuarios acceden a un secreto, es posible que alguien lo haya manipulado mal y lo haya filtrado a una entidad no autorizada, lo que aumenta el riesgo de abuso. Eliminar los secretos no utilizados ayuda a revocar el acceso secreto a los usuarios que ya no lo necesitan. También ayuda a reducir el costo de usar Secrets Manager. Por lo tanto, es esencial eliminar de forma rutinaria los secretos no utilizados.
Corrección
Para eliminar los secretos inactivos de Secrets Manager, consulte Eliminar un AWS Secrets Manager secreto en la Guía del AWS Secrets Manager usuario.
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9 PCI DSS
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::SecretsManager::Secret
Regla de AWS Config : secretsmanager-secret-periodic-rotation
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Número máximo de días durante el que un secreto puede permanecer sin cambios |
Entero |
De |
|
Este control comprueba si un AWS Secrets Manager secreto se rota al menos una vez dentro del período de tiempo especificado. Se produce un error en el control si no se rota un secreto al menos con esta frecuencia. A menos que se proporcione un valor personalizado de parámetro para el periodo de rotación, Security Hub utiliza un valor predeterminado de 90 días.
La rotación de los secretos puede ayudarle a reducir el riesgo de que se usen sus secretos sin autorización en su Cuenta de AWS. Algunos ejemplos son las credenciales de las bases de datos, las contraseñas, API las claves de terceros e incluso el texto arbitrario. Si no cambia sus secretos durante un largo período de tiempo, los secretos se vuelven más propensos a ser comprometidos.
Ya que hay más usuarios que acceden a un secreto, existen más probabilidades de que alguien haya cometido un error y lo haya filtrado a una entidad no autorizada. Los secretos se pueden filtrar a través de registros y datos de caché. Pueden compartirse con fines de depuración y no pueden cambiarse ni revocarse una vez que se complete la depuración. Por todas estas razones, los secretos deben rotarse con frecuencia.
Puede configurar la renovación automática de los datos secretos en AWS Secrets Manager. Con la rotación automática, puede reemplazar secretos a largo plazo con secretos a corto plazo, lo cual reducirá significativamente el riesgo de peligro. Le sugerimos que configure la rotación automática para sus secretos de Secrets Manager. Para obtener más información, consulte Rotación de sus secretos de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager .
Corrección
Para activar la rotación automática de los secretos de Secrets Manager, consulte Configurar la rotación automática de AWS Secrets Manager los secretos mediante la consola en la Guía del AWS Secrets Manager usuario. Debe elegir y configurar una AWS Lambda función de rotación.
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::SecretsManager::Secret
Regla de AWS Config : tagged-secretsmanager-secret (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un AWS Secrets Manager secreto tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el secreto no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el secreto no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un secreto de Secrets Manager, consulta Etiquetar AWS Secrets Manager secretos en la Guía del AWS Secrets Manager usuario.
