Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour AWS CloudFormation

Ces contrôles du Security Hub évaluent le AWS CloudFormation service et les ressources.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[CloudFormation.1] les CloudFormation piles doivent être intégrées au Simple Notification Service (SNS)

Exigences connexes : NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)

Catégorie : Détecter > Services de détection > Surveillance des applications

Gravité : Faible

Type de ressource : AWS::CloudFormation::Stack

Règle AWS Config  : cloudformation-stack-notification-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une notification Amazon Simple Notification Service est intégrée à une AWS CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucune notification SNS n'y est associée.

La configuration d'une notification SNS avec votre CloudFormation stack permet d'informer immédiatement les parties prenantes de tout événement ou changement survenant dans le stack.

Correction

Pour intégrer une CloudFormation pile et une rubrique SNS, consultez la section Mettre à jour les piles directement dans le guide de l'AWS CloudFormation utilisateur.

[CloudFormation.2] les CloudFormation piles doivent être étiquetées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::CloudFormation::Stack

AWS Config règle : tagged-cloudformation-stack (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si une AWS CloudFormation pile possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la pile ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pile n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Correction

Pour ajouter des balises à une CloudFormation pile, consultez CreateStackla référence de l'AWS CloudFormation API.