Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS Private CA
Ces AWS Security Hub contrôles évaluent le service AWS Private Certificate Authority (AWS Private CA) et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[PCA.1] L'autorité de certification AWS Private CA racine doit être désactivée
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Faible
Type de ressource : AWS::ACMPCA::CertificateAuthority
Règle AWS Config : acm-pca-root-ca-disabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si AWS Private CA une autorité de certification racine (CA) est désactivée. Le contrôle échoue si l'autorité de certification racine est activée.
Avec AWS Private CA, vous pouvez créer une hiérarchie de CA qui inclut une autorité de certification racine et une autorité subordonnée. CAs Vous devez minimiser l'utilisation de l'autorité de certification racine pour les tâches quotidiennes, en particulier dans les environnements de production. L'autorité de certification racine ne doit être utilisée que pour délivrer des certificats pour les intermédiaires CAs. Cela permet à l'autorité de certification racine d'être stockée à l'abri du danger pendant que l'intermédiaire CAs effectue la tâche quotidienne d'émission des certificats d'entité finale.
Correction
Pour désactiver l'autorité de certification racine, consultez la section Mettre à jour le statut de l'autorité de certification dans le guide de AWS Private Certificate Authority l'utilisateur.
[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::ACMPCA::CertificateAuthority
Règle AWS Config : acmpca-certificate-authority-tagged
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredKeyTags
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une autorité de certification AWS privée CA possède des balises avec les clés spécifiques définies dans le paramètrerequiredKeyTags. Le contrôle échoue si l'autorité de certification ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredKeyTags. Si le paramètre requiredKeyTags n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'autorité de certification n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Meilleures pratiques et stratégies dans le guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises.
Correction
Pour ajouter des balises à une autorité de certification AWS privée, voir Ajouter des balises pour votre autorité de certification privée dans le guide de AWS Private Certificate Authority l'utilisateur.
