Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôles Security Hub CSPM pour AWS Backup
Ces contrôles CSPM du Security Hub évaluent le AWS Backup service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Backup::RecoveryPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un point AWS Backup de restauration est chiffré au repos. Le contrôle échoue si le point de restauration n'est pas chiffré au repos.
Un point de AWS Backup restauration fait référence à une copie ou à un instantané spécifique des données créé dans le cadre d'un processus de sauvegarde. Il représente un moment précis où les données ont été sauvegardées et sert de point de restauration au cas où les données d'origine seraient perdues, corrompues ou inaccessibles. Le chiffrement des points de restauration des sauvegardes ajoute une couche de protection supplémentaire contre les accès non autorisés. Le chiffrement est une bonne pratique pour protéger la confidentialité, l'intégrité et la sécurité des données de sauvegarde.
### Correction
Pour chiffrer un point de AWS Backup restauration, consultez la section [Chiffrement des sauvegardes AWS Backup dans](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) le *Guide du AWS Backup développeur*.
## [Backup.2] les points de AWS Backup restauration doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::RecoveryPoint`
**AWS Config règle :** `tagged-backup-recoverypoint` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un point AWS Backup de récupération possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point de récupération ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point de récupération n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un point AWS Backup de récupération**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Dans le panneau de navigation, choisissez **Backup plans (Plans de sauvegarde)**.
1. Sélectionnez un plan de sauvegarde dans la liste.
1. Dans la section **Balises du plan de sauvegarde**, sélectionnez **Gérer les balises**.
1. Entrez la clé et la valeur de la balise. Choisissez **Ajouter une nouvelle balise** pour des paires clé-valeur supplémentaires.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## Les AWS Backup coffres-forts [Backup.3] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::BackupVault`
**AWS Config règle :** `tagged-backup-backupvault` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Backup coffre possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point de récupération ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point de récupération n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un AWS Backup coffre-fort**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Entrez la clé et la valeur de la balise. Choisissez **Ajouter une nouvelle balise** pour des paires clé-valeur supplémentaires.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [Backup.4] Les plans de AWS Backup rapport doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::ReportPlan`
**AWS Config règle :** `tagged-backup-reportplan` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un plan de AWS Backup rapport comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le plan de rapport ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le plan de rapport n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un plan de AWS Backup rapport**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [Backup.5] les plans de AWS Backup sauvegarde doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::BackupPlan`
**AWS Config règle :** `tagged-backup-backupplan` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un plan AWS Backup de sauvegarde comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le plan de sauvegarde ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le plan de sauvegarde n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un plan AWS Backup de sauvegarde**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.