Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôles Security Hub CSPM pour Amazon ECS
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon Elastic Container Service (Amazon ECS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés
**Important**
Security Hub CSPM a retiré ce contrôle en mars 2026. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md). Vous pouvez vous référer aux contrôles suivants pour évaluer la configuration privilégiée, la configuration du mode réseau et la configuration utilisateur :
[[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](#ecs-4)
[[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](#ecs-17)
[[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](#ecs-20)
[[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](#ecs-21)
**Exigences associées :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `SkipInactiveTaskDefinitions`: `true` (non personnalisable)
Ce contrôle vérifie si une définition de tâche Amazon ECS active en mode réseau hôte possède `privileged` ou non des définitions de `user` conteneur. Le contrôle échoue pour les définitions de tâches dont le mode réseau hôte et les définitions de `privileged=false` conteneur sont vides ou vides. `user=root`
Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
L'objectif de ce contrôle est de garantir que l'accès est défini intentionnellement lorsque vous exécutez des tâches utilisant le mode réseau hôte. Si une définition de tâche possède des privilèges élevés, c'est parce que vous avez choisi cette configuration. Ce contrôle vérifie l'absence d'augmentation inattendue des privilèges lorsqu'une définition de tâche active le réseau hôte et que vous ne choisissez pas de privilèges élevés.
### Correction
Pour plus d'informations sur la mise à jour d'une définition de tâche, consultez la section [Mise à jour d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
Lorsque vous mettez à jour une définition de tâche, elle ne met pas à jour les tâches en cours qui ont été lancées à partir de la définition de tâche précédente. Pour mettre à jour une tâche en cours d'exécution, vous devez la redéployer avec la nouvelle définition de tâche.
## [ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::Service`
**AWS Config règle :** `ecs-service-assign-public-ip-disabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les services Amazon ECS sont configurés pour attribuer automatiquement des adresses IP publiques. Ce contrôle échoue si tel `AssignPublicIP` est le cas`ENABLED`. Ce contrôle passe si tel `AssignPublicIP` est le cas`DISABLED`.
Une adresse IP publique est une adresse IP accessible depuis Internet. Si vous lancez vos instances Amazon ECS avec une adresse IP publique, elles sont accessibles depuis Internet. Les services Amazon ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.
### Correction
Vous devez d'abord créer une définition de tâche pour votre cluster qui utilise le mode `awsvpc` réseau et spécifie **FARGATE pour.** `requiresCompatibilities` Ensuite, pour la **configuration de calcul**, choisissez **le type de lancement** et **FARGATE**. Enfin, dans le champ **Réseau**, désactivez l'**adresse IP publique** pour désactiver l'attribution automatique d'adresses IP publiques à votre service.
## [ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les définitions de tâches Amazon ECS sont configurées pour partager l'espace de noms de processus d'un hôte avec ses conteneurs. Le contrôle échoue si la définition de tâche partage l'espace de noms de processus de l'hôte avec les conteneurs qui y sont exécutés. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Un espace de noms d'ID de processus (PID) permet de séparer les processus. Il empêche les processus du système d'être visibles et permet PIDs leur réutilisation, y compris le PID 1. Si l'espace de noms PID de l'hôte est partagé avec des conteneurs, cela permettra aux conteneurs de voir tous les processus du système hôte. Cela réduit l'avantage de l'isolation au niveau du processus entre l'hôte et les conteneurs. Ces circonstances peuvent entraîner un accès non autorisé aux processus sur l'hôte lui-même, y compris la capacité de les manipuler et d'y mettre fin. Les clients ne doivent pas partager l'espace de noms de processus de l'hôte avec les conteneurs qui s'exécutent sur celui-ci.
### Correction
Pour configurer la `pidMode` définition d'une tâche, consultez la section [Paramètres de définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) dans le manuel Amazon Elastic Container Service Developer Guide.
## [ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le `privileged` paramètre de la définition du conteneur des définitions de tâches Amazon ECS est défini sur`true`. Le contrôle échoue si ce paramètre est égal à`true`. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Nous vous recommandons de supprimer les privilèges élevés de vos définitions de tâches ECS. Lorsque le paramètre de privilège est défini`true`, le conteneur reçoit des privilèges élevés sur l'instance du conteneur hôte (comme l'utilisateur root).
### Correction
Pour configurer le `privileged` paramètre sur une définition de tâche, consultez la section [Paramètres avancés de définition de conteneur](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) dans le manuel Amazon Elastic Container Service Developer Guide.
## [ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les définitions de tâches ECS configurent les conteneurs de manière à ce qu'ils soient limités à un accès en lecture seule aux systèmes de fichiers racines montés. Le contrôle échoue si le `readonlyRootFilesystem` paramètre dans les définitions de conteneur de la définition de tâche ECS est défini sur`false`, ou si le paramètre n'existe pas dans la définition de conteneur au sein de la définition de tâche. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Si le `readonlyRootFilesystem` paramètre est défini sur `true` dans une définition de tâche Amazon ECS, le conteneur ECS bénéficie d'un accès en lecture seule à son système de fichiers racine. Cela réduit les vecteurs d'attaques de sécurité, car le système de fichiers racine de l'instance de conteneur ne peut pas être altéré ou écrit sans des montages de volumes explicites dotés d'autorisations de lecture-écriture pour les dossiers et répertoires du système de fichiers. L'activation de cette option est également conforme au principe du moindre privilège.
**Note**
Le `readonlyRootFilesystem` paramètre n'est pas pris en charge pour les conteneurs Windows. Les définitions de tâches `runtimePlatform` configurées pour spécifier une famille de `WINDOWS_SERVER` systèmes d'exploitation sont marquées comme `NOT_APPLICABLE` telles et ne généreront pas de résultats pour ce contrôle.
### Correction
Pour accorder à un conteneur Amazon ECS un accès en lecture seule à son système de fichiers racine, ajoutez le `readonlyRootFilesystem` paramètre à la définition de tâche du conteneur et définissez la valeur du paramètre sur. `true` Pour plus d'informations sur les paramètres de définition des tâches et sur la manière de les ajouter à une définition de tâche, consultez les [définitions de tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) et la [mise à jour d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2
**Catégorie :** Protéger > Développement sécurisé > Informations d'identification non codées en dur
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)
**Type de calendrier :** changement déclenché
**Paramètres :** `secretKeys` : `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (non personnalisable)
Ce contrôle vérifie si la valeur clé de l'une des variables du `environment` paramètre des définitions de conteneur inclut `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, ou`ECS_ENGINE_AUTH_DATA`. Ce contrôle échoue si une seule variable d'environnement dans une définition de conteneur est égale à `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, ou`ECS_ENGINE_AUTH_DATA`. Ce contrôle ne couvre pas les variables environnementales transmises depuis d'autres sites tels qu'Amazon S3. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
AWS Systems Manager Parameter Store peut vous aider à améliorer le niveau de sécurité de votre organisation. Nous vous recommandons d'utiliser le Parameter Store pour stocker les secrets et les informations d'identification au lieu de les transmettre directement à vos instances de conteneur ou de les coder en dur dans votre code.
### Correction
Pour créer des paramètres à l'aide de SSM, reportez-vous à la section [Création de paramètres de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) dans le *guide de AWS Systems Manager l'utilisateur*. Pour plus d'informations sur la création d'une définition de tâche [spécifiant un secret, consultez la section Spécification de données sensibles à l'aide de Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**AWS Config règle : ecs-task-definition-log** [-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une configuration de journalisation est spécifiée pour la dernière définition de tâche Amazon ECS active. Le contrôle échoue si la `logConfiguration` propriété de la définition de tâche n'est pas définie ou si la valeur de `logDriver` est nulle dans au moins une définition de conteneur.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances d'Amazon ECS. La collecte de données à partir des définitions de tâches apporte de la visibilité, ce qui peut vous aider à déboguer les processus et à identifier la cause première des erreurs. Si vous utilisez une solution de journalisation qui n'a pas besoin d'être définie dans la définition des tâches ECS (telle qu'une solution de journalisation tierce), vous pouvez désactiver ce contrôle après vous être assuré que vos journaux sont correctement capturés et transmis.
### Correction
Pour définir une configuration de journal pour vos définitions de tâches Amazon ECS, consultez [Spécifier une configuration de journal dans votre définition de tâche dans](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::Service`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `latestLinuxVersion: 1.4.0`(non personnalisable)
+ `latestWindowsVersion: 1.0.0`(non personnalisable)
Ce contrôle vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Ce contrôle échoue si la version de la plateforme n'est pas la plus récente.
AWS Fargate les versions de plate-forme font référence à un environnement d'exécution spécifique pour l'infrastructure de tâches Fargate, qui est une combinaison de versions d'exécution du noyau et du conteneur. De nouvelles versions de plate-forme sont publiées au fur et à mesure de l'évolution de l'environnement d'exécution. Par exemple, une nouvelle version peut être publiée pour les mises à jour du noyau ou du système d'exploitation, les nouvelles fonctionnalités, les corrections de bogues ou les mises à jour de sécurité. Des mises à jour de sécurité et des correctifs sont déployés automatiquement pour vos tâches Fargate. Si un problème de sécurité affectant une version de plate-forme est détecté, appliquez un AWS correctif à cette version.
### Correction
Pour mettre à jour un service existant, y compris sa version de plateforme, consultez la section [Mise à jour d'un service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.12] Les clusters ECS doivent utiliser Container Insights
**Exigences connexes :** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les clusters ECS utilisent Container Insights. Ce contrôle échoue si Container Insights n'est pas configuré pour un cluster.
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des clusters Amazon ECS. Utilisez CloudWatch Container Insights pour collecter, agréger et résumer les métriques et les journaux de vos applications conteneurisées et de vos microservices. CloudWatch collecte automatiquement des métriques pour de nombreuses ressources, telles que le processeur, la mémoire, le disque et le réseau. Conteneur Insights fournit également des informations de diagnostic (par exemple sur les échecs de redémarrage des conteneurs) pour vous aider à isoler les problèmes et à les résoudre rapidement. Vous pouvez également définir des CloudWatch alarmes sur les métriques collectées par Container Insights.
### Correction
Pour utiliser Container Insights, consultez la section [Mettre à jour un service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## [ECS.13] Les services ECS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::Service`
**AWS Config règle :** `tagged-ecs-service` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un service Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le service ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un service ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.14] Les clusters ECS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::Cluster`
**AWS Config règle :** `tagged-ecs-cluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un cluster ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.15] Les définitions de tâches ECS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::TaskDefinition`
**AWS Config règle :** `tagged-ecs-taskdefinition` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une définition de tâche Amazon ECS comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la définition de tâche ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la définition de tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une définition de tâche ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques
**Exigences connexes :** PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskSet`
**AWS Config règle :** `ecs-taskset-assign-public-ip-disabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un ensemble de tâches Amazon ECS est configuré pour attribuer automatiquement des adresses IP publiques. Le contrôle échoue s'il `AssignPublicIP` est défini sur`ENABLED`.
Une adresse IP publique est accessible depuis Internet. Si vous configurez votre ensemble de tâches avec une adresse IP publique, les ressources associées à l'ensemble de tâches sont accessibles depuis Internet. Les ensembles de tâches ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.
### Correction
Pour mettre à jour un ensemble de tâches ECS afin qu'il n'utilise pas d'adresse IP publique, consultez la section [Mise à jour d'une définition de tâche Amazon ECS à l'aide de la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS utilise le mode `host` réseau. Le contrôle échoue si la dernière révision active de la définition de tâche ECS utilise le mode `host` réseau.
Lorsque vous utilisez le mode `host` réseau, la mise en réseau d'un conteneur Amazon ECS est directement liée à l'hôte sous-jacent qui exécute le conteneur. Par conséquent, ce mode permet aux conteneurs de se connecter à des services réseau privés en boucle sur l'hôte et de se faire passer pour l'hôte. D'autres inconvénients importants sont qu'il n'est pas possible de remapper un port de conteneur en mode `host` réseau et que vous ne pouvez pas exécuter plus d'une seule instanciation d'une tâche sur chaque hôte.
### Correction
Pour plus d'informations sur les modes de mise en réseau et les options pour les tâches Amazon ECS hébergées sur des instances Amazon EC2, consultez les [options de mise en réseau des tâches Amazon ECS pour le type de lancement EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) dans le manuel du développeur *Amazon Elastic Container Service*. Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche et la spécification d'un mode réseau différent, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans ce guide.
Si la définition de tâche Amazon ECS a été créée par AWS Batch, consultez [Modes de mise en réseau pour les AWS Batch tâches pour](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) en savoir plus sur les modes de mise en réseau et l'utilisation typique des types de AWS Batch tâches et pour choisir une option sécurisée.
## [ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS
**Catégorie :** Protéger > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS utilise le chiffrement en transit pour les volumes EFS. Le contrôle échoue si le chiffrement en transit est désactivé pour les volumes EFS dans la dernière révision active de la définition des tâches ECS.
Les volumes Amazon EFS fournissent un stockage de fichiers partagé simple, évolutif et persistant à utiliser avec vos tâches Amazon ECS. Amazon EFS prend en charge le chiffrement des données en transit grâce au protocole TLS (Transport Layer Security). Lorsque le chiffrement des données en transit est déclaré comme option de montage pour votre système de fichiers EFS, Amazon EFS établit une connexion TLS sécurisée avec votre système de fichiers EFS lors du montage de votre système de fichiers.
### Correction
Pour plus d'informations sur l'activation du chiffrement en transit pour la définition des tâches Amazon ECS avec les volumes EFS, consultez l'[étape 5 : création d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée
**Catégorie :** Protéger > Protection des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::CapacityProvider`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un fournisseur de capacité Amazon ECS a activé la protection de résiliation gérée. Le contrôle échoue si la protection de terminaison gérée n'est pas activée sur un fournisseur de capacité ECS.
Les fournisseurs de capacité Amazon ECS gèrent la mise à l'échelle de l'infrastructure pour les tâches de vos clusters. Lorsque vous utilisez des instances EC2 pour votre capacité, vous utilisez le groupe Auto Scaling pour gérer les instances EC2. La protection contre la résiliation gérée permet à l’autoscaling de cluster de contrôler quelles instances sont résiliées. Lorsque vous utilisez la protection contre la résiliation gérée, Amazon ECS ne résilie que les instances EC2 qui n’ont pas de tâches Amazon ECS en cours d’exécution.
**Note**
Lors de l'utilisation de la protection contre la résiliation gérée, la mise à l'échelle gérée doit également être utilisée pour que la protection fonctionne.
### Correction
Pour activer la protection de résiliation gérée pour un fournisseur de capacité Amazon ECS, consultez la section [Mise à jour de la protection de résiliation gérée pour les fournisseurs de capacité Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) dans le *guide du développeur Amazon Elastic Container Service*.
## [ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS configure les conteneurs Linux pour qu'ils s'exécutent en tant qu'utilisateurs non root. Le contrôle échoue si un utilisateur root par défaut est configuré ou si la configuration utilisateur est absente pour un conteneur.
Lorsque les conteneurs Linux s'exécutent avec les privilèges root, ils présentent plusieurs risques de sécurité importants. Les utilisateurs root ont un accès illimité au conteneur. Cet accès élevé augmente le risque d'attaques visant à échapper aux conteneurs, dans le cadre desquelles un attaquant pourrait potentiellement sortir de l'isolation du conteneur et accéder au système hôte sous-jacent. Si un conteneur exécuté en tant que root est compromis, les attaquants peuvent l'exploiter pour accéder aux ressources du système hôte ou les modifier, affectant ainsi d'autres conteneurs ou l'hôte lui-même. En outre, l'accès root pourrait permettre des attaques par escalade de privilèges, permettant aux attaquants d'obtenir des autorisations supplémentaires au-delà de la portée prévue du conteneur. Le paramètre utilisateur dans les définitions de tâches ECS peut spécifier les utilisateurs dans plusieurs formats, notamment le nom d'utilisateur, l'ID utilisateur, le nom d'utilisateur avec le groupe ou l'UID avec l'ID de groupe. Il est important de tenir compte de ces différents formats lors de la configuration des définitions de tâches afin de garantir qu'aucun accès root n'est accordé par inadvertance. Conformément au principe du moindre privilège, les conteneurs doivent fonctionner avec les autorisations minimales requises en utilisant des utilisateurs non root. Cette approche réduit considérablement la surface d'attaque potentielle et atténue l'impact des failles de sécurité potentielles.
**Note**
Ce contrôle évalue les définitions de conteneur dans une définition de tâche uniquement si elles `operatingSystemFamily` sont configurées comme `LINUX` ou `operatingSystemFamily` non dans la définition de tâche. Le contrôle génère un `FAILED` résultat pour une définition de tâche évaluée si aucune définition de conteneur dans la définition de tâche `user` n'a été configurée ou `user` configurée en tant qu'utilisateur root par défaut. Les utilisateurs root par défaut pour les `LINUX` conteneurs sont `"root"` et`"0"`.
### Correction
Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche Amazon ECS et la mise à jour du `user` paramètre dans la définition de conteneur, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS configure les conteneurs Windows pour qu'ils s'exécutent en tant qu'utilisateurs qui ne sont pas des administrateurs par défaut. Le contrôle échoue si un administrateur par défaut est configuré en tant qu'utilisateur ou si la configuration utilisateur est absente pour un conteneur.
Lorsque les conteneurs Windows s'exécutent avec des privilèges d'administrateur, ils présentent plusieurs risques de sécurité importants. Les administrateurs ont un accès illimité au conteneur. Cet accès élevé augmente le risque d'attaques visant à échapper aux conteneurs, dans le cadre desquelles un attaquant pourrait potentiellement sortir de l'isolation du conteneur et accéder au système hôte sous-jacent.
**Note**
Ce contrôle évalue les définitions de conteneur dans une définition de tâche uniquement si elles `operatingSystemFamily` sont configurées comme `WINDOWS_SERVER` ou `operatingSystemFamily` non dans la définition de tâche. Le contrôle générera un `FAILED` résultat pour une définition de tâche évaluée si aucune définition de conteneur dans la définition de tâche `user` n'a été configurée ou `user` configurée en tant qu'administrateur par défaut pour les `WINDOWS_SERVER` conteneurs, ce qui est le cas`"containeradministrator"`.
### Correction
Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche Amazon ECS et la mise à jour du `user` paramètre dans la définition de conteneur, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.