Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Référence de contrôle pour Security Hub CSPM
Cette référence de contrôle fournit un tableau des contrôles AWS Security Hub CSPM disponibles avec des liens vers des informations supplémentaires sur chaque contrôle. Dans le tableau, les contrôles sont répertoriés par ordre alphabétique par ID de contrôle. Seuls les contrôles utilisés activement par Security Hub CSPM sont inclus ici. Les contrôles retirés sont exclus du tableau.
Le tableau fournit les informations suivantes pour chaque contrôle :
+ **ID de contrôle de sécurité** — Cet identifiant s'applique à toutes les normes et indique la ressource Service AWS et les ressources auxquelles le contrôle se rapporte. La console Security Hub CSPM affiche le contrôle de sécurité IDs, que les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings) soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence au contrôle de sécurité IDs uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains contrôles IDs varient d'une norme à l'autre en ce qui concerne vos résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. [L'impact de la consolidation sur le contrôle IDs et les titres](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
Si vous souhaitez configurer [des automatisations pour les](automations.md) contrôles de sécurité, nous vous recommandons de filtrer en fonction de l'ID du contrôle plutôt que du titre ou de la description. Alors que Security Hub CSPM peut parfois mettre à jour les titres ou les descriptions des contrôles, le contrôle IDs reste le même.
IDs Le contrôle peut ignorer des chiffres. Il s'agit d'espaces réservés pour les futurs contrôles.
+ **Titre du contrôle de sécurité** — Ce titre s'applique à toutes les normes. La console Security Hub CSPM affiche les titres des contrôles de sécurité, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence aux titres des contrôles de sécurité uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains titres de contrôle varient selon les normes en termes de résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. [L'impact de la consolidation sur le contrôle IDs et les titres](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Normes applicables** — Indique à quelles normes s'applique un contrôle. Choisissez un contrôle pour examiner les exigences spécifiques des cadres de conformité tiers.
+ **Gravité** — La sévérité d'un contrôle identifie son importance du point de vue de la sécurité. Pour plus d'informations sur la manière dont Security Hub CSPM détermine la sévérité des contrôles, consultez. [Niveaux de gravité des résultats de contrôle](controls-findings-create-update.md#control-findings-severity)
+ **Prend en charge les paramètres personnalisés** : indique si le contrôle prend en charge les valeurs personnalisées pour un ou plusieurs paramètres. Choisissez un contrôle pour consulter les détails des paramètres. Pour de plus amples informations, veuillez consulter [Comprendre les paramètres de contrôle dans Security Hub CSPM](custom-control-parameters.md).
+ **Type de planification** — Indique à quel moment le contrôle est évalué. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
Choisissez un contrôle pour consulter des informations supplémentaires. Les contrôles sont répertoriés par ordre alphabétique par numéro de contrôle de sécurité.
| ID de contrôle de sécurité | Titre du contrôle de sécurité | Normes applicables | Sévérité | Supporte les paramètres personnalisés | Type de calendrier |
| --- | --- | --- | --- | --- | --- |
| [Account.1](account-controls.md#account-1) | Les coordonnées de sécurité doivent être fournies pour Compte AWS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0 AWS , NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Compte.2](account-controls.md#account-2) | Compte AWS doit faire partie d'une AWS Organizations organisation | NIST SP 800-53 Rév. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ACM.1](acm-controls.md#acm-1) | Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché et périodique |
| [ACM.2](acm-controls.md#acm-2) | Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ACM.3](acm-controls.md#acm-3) | Les certificats ACM doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Amplifier.1](amplify-controls.md#amplify-1) | Les applications Amplify doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Amplifier.2](amplify-controls.md#amplify-2) | Les branches Amplify doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [APIGateway1](apigateway-controls.md#apigateway-1). | API Gateway REST et la journalisation de l'exécution de l' WebSocket API doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [APIGateway2.](apigateway-controls.md#apigateway-2) | Les étapes de l'API REST d'API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway3.](apigateway-controls.md#apigateway-3) | Le AWS X-Ray suivi des étapes de l'API REST d'API Gateway doit être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway4.](apigateway-controls.md#apigateway-4) | L'API Gateway doit être associée à une ACL Web WAF | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway5.](apigateway-controls.md#apigateway-5) | Les données du cache de l'API REST API Gateway doivent être chiffrées au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway8.](apigateway-controls.md#apigateway-8) | Les routes API Gateway doivent spécifier un type d'autorisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [APIGateway9.](apigateway-controls.md#apigateway-9) | La journalisation des accès doit être configurée pour les étapes API Gateway V2 | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway.10](apigateway-controls.md#apigateway-10) | Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AppConfig1](appconfig-controls.md#appconfig-1). | AWS AppConfig les applications doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppConfig2.](appconfig-controls.md#appconfig-2) | AWS AppConfig les profils de configuration doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppConfig3.](appconfig-controls.md#appconfig-3) | AWS AppConfig les environnements doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppConfig4.](appconfig-controls.md#appconfig-4) | AWS AppConfig les associations d'extensions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppFlow1](appflow-controls.md#appflow-1). | AppFlow Les flux Amazon doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppRunner1](apprunner-controls.md#apprunner-1). | Les services App Runner doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppRunner2.](apprunner-controls.md#apprunner-2) | Les connecteurs VPC App Runner doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppSync2.](appsync-controls.md#appsync-2) | AWS AppSync la journalisation au niveau du champ doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppSync4.](appsync-controls.md#appsync-4) | AWS AppSync GraphQL APIs doit être balisé | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppSync5.](appsync-controls.md#appsync-5) | AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Athéna.2](athena-controls.md#athena-2) | Les catalogues de données Athena doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Athéna.3](athena-controls.md#athena-3) | Les groupes de travail Athena doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Athéna.4](athena-controls.md#athena-4) | La journalisation des groupes de travail Athena doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling1](autoscaling-controls.md#autoscaling-1). | Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB | AWS Bonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling2.](autoscaling-controls.md#autoscaling-2) | Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AutoScaling3.](autoscaling-controls.md#autoscaling-3) | Les configurations de lancement du groupe Auto Scaling doivent configurer les instances EC2 pour qu'elles nécessitent la version 2 du service de métadonnées d'instance () IMDSv2 | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Autoscaling.5](autoscaling-controls.md#autoscaling-5) | Les instances Amazon EC2 lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling6.](autoscaling-controls.md#autoscaling-6) | Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling9.](autoscaling-controls.md#autoscaling-9) | Les groupes EC2 Auto Scaling doivent utiliser des modèles de lancement EC2 | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling.10](autoscaling-controls.md#autoscaling-10) | Les groupes EC2 Auto Scaling doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.1](backup-controls.md#backup-1) | AWS Backup les points de récupération doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Sauvegarde.2](backup-controls.md#backup-2) | AWS Backup les points de récupération doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.3](backup-controls.md#backup-3) | AWS Backup les coffres-forts doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.4](backup-controls.md#backup-4) | AWS Backup les plans de rapport doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.5](backup-controls.md#backup-5) | AWS Backup les plans de sauvegarde doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 1](batch-controls.md#batch-1) | Les files d'attente de tâches par lots doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 2](batch-controls.md#batch-2) | Les politiques de planification par lots doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 3](batch-controls.md#batch-3) | Les environnements de calcul par lots doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 4](batch-controls.md#batch-4) | Les propriétés des ressources de calcul dans les environnements de calcul Batch gérés doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudFormation2.](cloudformation-controls.md#cloudformation-2) | CloudFormation les piles doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudFormation3.](cloudformation-controls.md#cloudformation-3) | CloudFormation la protection des terminaisons doit être activée pour les piles | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFormation4.](cloudformation-controls.md#cloudformation-4) | CloudFormation les piles doivent avoir des rôles de service associés | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront1](cloudfront-controls.md#cloudfront-1). | CloudFront les distributions doivent avoir un objet racine par défaut configuré | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront3.](cloudfront-controls.md#cloudfront-3) | CloudFront les distributions devraient nécessiter un chiffrement pendant le transit | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront4.](cloudfront-controls.md#cloudfront-4) | CloudFront le basculement d'origine doit être configuré pour les distributions | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront5.](cloudfront-controls.md#cloudfront-5) | CloudFront la journalisation des distributions doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront6.](cloudfront-controls.md#cloudfront-6) | CloudFront le WAF doit être activé sur les distributions | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront7.](cloudfront-controls.md#cloudfront-7) | CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront8.](cloudfront-controls.md#cloudfront-8) | CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront9.](cloudfront-controls.md#cloudfront-9) | CloudFront les distributions doivent chiffrer le trafic vers des origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.10](cloudfront-controls.md#cloudfront-10) | CloudFront les distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.12](cloudfront-controls.md#cloudfront-12) | CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudFront.13](cloudfront-controls.md#cloudfront-13) | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.14](cloudfront-controls.md#cloudfront-14) | CloudFront les distributions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudFront.15](cloudfront-controls.md#cloudfront-15) | CloudFront les distributions doivent utiliser la politique de sécurité TLS recommandée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.16](cloudfront-controls.md#cloudfront-16) | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL de la fonction Lambda | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.17](cloudfront-controls.md#cloudfront-17) | CloudFront les distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudTrail1](cloudtrail-controls.md#cloudtrail-1). | CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures AWS pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail2.](cloudtrail-controls.md#cloudtrail-2) | CloudTrail le chiffrement au repos doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS AWS Foundations Benchmark v1.4.0 AWS Fondational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail3.](cloudtrail-controls.md#cloudtrail-3) | Au moins une CloudTrail piste doit être activée | NIST SP 800-171 Rév. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail4.](cloudtrail-controls.md#cloudtrail-4) | CloudTrail la validation du fichier journal doit être activée | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail5.](cloudtrail-controls.md#cloudtrail-5) | CloudTrail les sentiers doivent être intégrés à Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail6.](cloudtrail-controls.md#cloudtrail-6) | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | Benchmark CIS AWS Foundations v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7) | Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9) | CloudTrail les sentiers doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10) | CloudTrail Les magasins de données sur les événements de Lake doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [CloudWatch1](cloudwatch-controls.md#cloudwatch-1). | Un journal, un filtre métrique et une alarme doivent exister pour l'utilisation de l'utilisateur « root » | Benchmark CIS AWS Foundations v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch2.](cloudwatch-controls.md#cloudwatch-2) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch3.](cloudwatch-controls.md#cloudwatch-3) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour la connexion à la console de gestion sans MFA | Benchmark CIS AWS Foundations v1.2.0 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch4.](cloudwatch-controls.md#cloudwatch-4) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch6.](cloudwatch-controls.md#cloudwatch-6) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent en cas AWS Management Console d'échec d'authentification | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des fichiers créés par le client CMKs | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications AWS Config de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des groupes de sécurité | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des listes de contrôle d'accès réseau (ACL réseau) | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications VPC | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15) | CloudWatch les alarmes doivent avoir des actions spécifiées configurées | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16) | CloudWatch les groupes de journaux doivent être conservés pendant une période spécifiée | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17) | CloudWatch les actions d'alarme doivent être activées | NIST SP 800-53 Rév. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeArtifact1](codeartifact-controls.md#codeartifact-1). | CodeArtifact les référentiels doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CodeBuild1](codebuild-controls.md#codebuild-1). | CodeBuild Le référentiel source de Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild2.](codebuild-controls.md#codebuild-2) | CodeBuild les variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild3.](codebuild-controls.md#codebuild-3) | CodeBuild Les journaux S3 doivent être chiffrés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild4.](codebuild-controls.md#codebuild-4) | CodeBuild les environnements de projet doivent avoir une configuration de journalisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild7.](codebuild-controls.md#codebuild-7) | CodeBuild les exportations de groupes de rapports doivent être cryptées au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1). | CodeGuru Les groupes de profilage doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1). | CodeGuru Les associations de référentiels des réviseurs doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Cognito.1](cognito-controls.md#cognito-1) | Les groupes d'utilisateurs de Cognito doivent avoir la protection contre les menaces activée avec le mode d'application complet pour l'authentification standard | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Cognito 2](cognito-controls.md#cognito-2) | Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Cognito 3](cognito-controls.md#cognito-3) | Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être configurées de manière stricte | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Cognito .4](cognito-controls.md#cognito-4) | Les groupes d'utilisateurs de Cognito doivent avoir la protection contre les menaces activée avec le mode d'application complet pour une authentification personnalisée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Cognito 5](cognito-controls.md#cognito-5) | La MFA doit être activée pour les groupes d'utilisateurs de Cognito | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Cognito 6](cognito-controls.md#cognito-6) | La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Config.1](config-controls.md#config-1) | AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS | CRITIQUE | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [Connecter 1](connect-controls.md#connect-1) | Les types d'objets des profils clients Amazon Connect doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Connecter 2](connect-controls.md#connect-2) | La CloudWatch journalisation des instances Amazon Connect doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DataFirehose1](datafirehose-controls.md#datafirehose-1). | Les flux de diffusion de Firehose doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [DataSync1](datasync-controls.md#datasync-1). | DataSync la journalisation des tâches doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DataSync2.](datasync-controls.md#datasync-2) | DataSync les tâches doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Détective 1](detective-controls.md#detective-1) | Les graphes de comportement des détectives doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.1](dms-controls.md#dms-1) | Les instances de réplication du Database Migration Service ne doivent pas être publiques | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [DMS.2](dms-controls.md#dms-2) | Les certificats DMS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.3](dms-controls.md#dms-3) | Les abonnements aux événements DMS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.4](dms-controls.md#dms-4) | Les instances de réplication DMS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.5](dms-controls.md#dms-5) | Les groupes de sous-réseaux de réplication DMS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.6](dms-controls.md#dms-6) | La mise à niveau automatique des versions mineures des instances de réplication DMS doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.7](dms-controls.md#dms-7) | La journalisation des tâches de réplication DMS pour la base de données cible doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.8](dms-controls.md#dms-8) | La journalisation des tâches de réplication DMS pour la base de données source doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.9](dms-controls.md#dms-9) | Les points de terminaison DMS doivent utiliser le protocole SSL | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS 10](dms-controls.md#dms-10) | Les points de terminaison DMS pour les bases de données Neptune doivent avoir l'autorisation IAM activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.11](dms-controls.md#dms-11) | Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.12](dms-controls.md#dms-12) | TLS doit être activé sur les points de terminaison DMS pour Redis OSS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.13](dms-controls.md#dms-13) | Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.1](documentdb-controls.md#documentdb-1) | Les clusters Amazon DocumentDB doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.2](documentdb-controls.md#documentdb-2) | Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Document DB.3](documentdb-controls.md#documentdb-3) | Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.4](documentdb-controls.md#documentdb-4) | Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.5](documentdb-controls.md#documentdb-5) | La protection contre la suppression des clusters Amazon DocumentDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.6](documentdb-controls.md#documentdb-6) | Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [DynamoDB.1](dynamodb-controls.md#dynamodb-1) | Les tables DynamoDB doivent automatiquement adapter la capacité à la demande | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [DynamoDB.2](dynamodb-controls.md#dynamodb-2) | La restauration des tables DynamoDB doit être activée point-in-time | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DynamoDB.3](dynamodb-controls.md#dynamodb-3) | Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Dynamo DB.4](dynamodb-controls.md#dynamodb-4) | Les tables DynamoDB doivent être présentes dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [Dynamo DB.5](dynamodb-controls.md#dynamodb-5) | Les tables DynamoDB doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Dynamo DB.6](dynamodb-controls.md#dynamodb-6) | La protection contre la suppression des tables DynamoDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Dynamo DB.7](dynamodb-controls.md#dynamodb-7) | Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.1](ec2-controls.md#ec2-1) | Les instantanés EBS ne doivent pas être restaurables publiquement | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.2](ec2-controls.md#ec2-2) | Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.3](ec2-controls.md#ec2-3) | Les volumes EBS attachés doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.4](ec2-controls.md#ec2-4) | Les instances EC2 arrêtées doivent être supprimées après une période spécifiée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2.6](ec2-controls.md#ec2-6) | La journalisation des flux VPC doit être activée dans tous VPCs | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP AWS 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.7](ec2-controls.md#ec2-7) | Le chiffrement par défaut EBS doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.8](ec2-controls.md#ec2-8) | Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.9](ec2-controls.md#ec2-9) | Les instances EC2 ne doivent pas avoir d'adresse publique IPv4 | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.10](ec2-controls.md#ec2-10) | Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2 | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2,12](ec2-controls.md#ec2-12) | L'EC2 non utilisé EIPs doit être retiré | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.13](ec2-controls.md#ec2-13) | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rév. 5, NIST SP 800-171 Rév. 2 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [EC2.14](ec2-controls.md#ec2-14) | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [EC2.15](ec2-controls.md#ec2-15) | Les sous-réseaux EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.16](ec2-controls.md#ec2-16) | Les listes de contrôle d'accès réseau non utilisées doivent être supprimées | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.17](ec2-controls.md#ec2-17) | Les instances EC2 ne doivent pas utiliser plusieurs ENIs | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.18](ec2-controls.md#ec2-18) | Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2.19](ec2-controls.md#ec2-19) | Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [EC2.20](ec2-controls.md#ec2-20) | Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.21](ec2-controls.md#ec2-21) | ACLs Le réseau ne doit pas autoriser l'entrée de 0.0.0.0/0 vers le port 22 ou le port 3389 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.22](ec2-controls.md#ec2-22) | Les groupes de sécurité EC2 non utilisés doivent être supprimés | | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.23](ec2-controls.md#ec2-23) | Les passerelles de transit EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.24](ec2-controls.md#ec2-24) | Les types d'instances paravirtuelles EC2 ne doivent pas être utilisés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.25](ec2-controls.md#ec2-25) | Les modèles de lancement EC2 ne doivent pas attribuer de public IPs aux interfaces réseau | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,28](ec2-controls.md#ec2-28) | Les volumes EBS doivent être inclus dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,33](ec2-controls.md#ec2-33) | Les pièces jointes à la passerelle de transit EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,34](ec2-controls.md#ec2-34) | Les tables de routage de la passerelle de transit EC2 doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,35](ec2-controls.md#ec2-35) | Les interfaces réseau EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,36](ec2-controls.md#ec2-36) | Les passerelles client EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,37](ec2-controls.md#ec2-37) | Les adresses IP Elastic EC2 doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,38](ec2-controls.md#ec2-38) | Les instances EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2.39](ec2-controls.md#ec2-39) | Les passerelles Internet EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,40](ec2-controls.md#ec2-40) | Les passerelles NAT EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2.41](ec2-controls.md#ec2-41) | Le réseau EC2 ACLs doit être étiqueté | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,42](ec2-controls.md#ec2-42) | Les tables de routage EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,43](ec2-controls.md#ec2-43) | Les groupes de sécurité EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,44](ec2-controls.md#ec2-44) | Les sous-réseaux EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,45](ec2-controls.md#ec2-45) | Les volumes EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,46](ec2-controls.md#ec2-46) | Amazon VPCs doit être tagué | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,47](ec2-controls.md#ec2-47) | Les services de point de terminaison Amazon VPC doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,48](ec2-controls.md#ec2-48) | Les journaux de flux Amazon VPC doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,49](ec2-controls.md#ec2-49) | Les connexions d'appairage Amazon VPC doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,50](ec2-controls.md#ec2-50) | Les passerelles VPN EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,51](ec2-controls.md#ec2-51) | La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,52](ec2-controls.md#ec2-52) | Les passerelles de transit EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,53](ec2-controls.md#ec2-53) | Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2,54](ec2-controls.md#ec2-54) | Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2,55](ec2-controls.md#ec2-55) | VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,56](ec2-controls.md#ec2-56) | VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,57](ec2-controls.md#ec2-57) | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,58](ec2-controls.md#ec2-58) | VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,60](ec2-controls.md#ec2-60) | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,170](ec2-controls.md#ec2-170) | Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2 | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.171](ec2-controls.md#ec2-171) | La journalisation des connexions VPN EC2 doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,172](ec2-controls.md#ec2-172) | Les paramètres d'accès public EC2 VPC Block devraient bloquer le trafic de passerelle Internet | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,173](ec2-controls.md#ec2-173) | Les demandes EC2 Spot Fleet avec paramètres de lancement doivent permettre le chiffrement des volumes EBS attachés | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,174](ec2-controls.md#ec2-174) | Les ensembles d'options DHCP EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,175](ec2-controls.md#ec2-175) | Les modèles de lancement EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,176](ec2-controls.md#ec2-176) | Les listes de préfixes EC2 doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,177](ec2-controls.md#ec2-177) | Les sessions EC2 Traffic Mirror doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,178](ec2-controls.md#ec2-178) | Les filtres de rétroviseurs EC2 doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,179](ec2-controls.md#ec2-179) | Les cibles du miroir de trafic EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,180](ec2-controls.md#ec2-180) | La source/destination vérification doit être activée sur les interfaces réseau EC2 | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.181](ec2-controls.md#ec2-181) | Les modèles de lancement EC2 doivent permettre le chiffrement des volumes EBS attachés | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.182](ec2-controls.md#ec2-182) | Les instantanés EBS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECR.1](ecr-controls.md#ecr-1) | La numérisation des images doit être configurée dans les référentiels privés ECR | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ECR.2](ecr-controls.md#ecr-2) | L'immuabilité des balises doit être configurée dans les référentiels privés ECR | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECR.3](ecr-controls.md#ecr-3) | Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECR.4](ecr-controls.md#ecr-4) | Les référentiels publics ECR doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECR.5](ecr-controls.md#ecr-5) | Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.2](ecs-controls.md#ecs-2) | Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS. | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.3](ecs-controls.md#ecs-3) | Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.4](ecs-controls.md#ecs-4) | Les conteneurs ECS doivent fonctionner en tant que conteneurs non privilégiés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.5](ecs-controls.md#ecs-5) | Les conteneurs ECS doivent être limités à l'accès en lecture seule aux systèmes de fichiers racines | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.8](ecs-controls.md#ecs-8) | Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.9](ecs-controls.md#ecs-9) | Les définitions de tâches ECS doivent avoir une configuration de journalisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.10](ecs-controls.md#ecs-10) | Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.12](ecs-controls.md#ecs-12) | Les clusters ECS doivent utiliser Container Insights | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.13](ecs-controls.md#ecs-13) | Les services ECS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.14](ecs-controls.md#ecs-14) | Les clusters ECS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.15](ecs-controls.md#ecs-15) | Les définitions de tâches ECS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.16](ecs-controls.md#ecs-16) | Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.17](ecs-controls.md#ecs-17) | Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.18](ecs-controls.md#ecs-18) | Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.19](ecs-controls.md#ecs-19) | Les fournisseurs de capacité ECS doivent avoir activé la protection des terminaisons gérée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.20](ecs-controls.md#ecs-20) | Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.21](ecs-controls.md#ecs-21) | Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.1](efs-controls.md#efs-1) | Elastic File System doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0 AWS , NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EFS.2](efs-controls.md#efs-2) | Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EFS.3](efs-controls.md#efs-3) | Les points d'accès EFS doivent appliquer un répertoire racine | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.4](efs-controls.md#efs-4) | Les points d'accès EFS doivent renforcer l'identité de l'utilisateur | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.5](efs-controls.md#efs-5) | Les points d'accès EFS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EFS.6](efs-controls.md#efs-6) | Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EFS.7](efs-controls.md#efs-7) | Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.8](efs-controls.md#efs-8) | Les systèmes de fichiers EFS doivent être chiffrés au repos | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de AWS sécurité de base | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EKS.1](eks-controls.md#eks-1) | Les points de terminaison du cluster EKS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EKS.2](eks-controls.md#eks-2) | Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EKS 3](eks-controls.md#eks-3) | Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EKS 6](eks-controls.md#eks-6) | Les clusters EKS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EKS 7](eks-controls.md#eks-7) | Les configurations du fournisseur d'identité EKS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EKS.8](eks-controls.md#eks-8) | La journalisation des audits doit être activée sur les clusters EKS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ElastiCache1](elasticache-controls.md#elasticache-1). | ElastiCache Les sauvegardes automatiques des clusters (Redis OSS) doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [ElastiCache2.](elasticache-controls.md#elasticache-2) | ElastiCache les mises à niveau automatiques des versions mineures doivent être activées sur les clusters | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache3.](elasticache-controls.md#elasticache-3) | ElastiCache le basculement automatique doit être activé pour les groupes de réplication | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache4.](elasticache-controls.md#elasticache-4) | ElastiCache les groupes de réplication doivent être encrypted-at-rest | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache5.](elasticache-controls.md#elasticache-5) | ElastiCache les groupes de réplication doivent être encrypted-in-transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache6.](elasticache-controls.md#elasticache-6) | ElastiCache Les groupes de réplication (Redis OSS) des versions antérieures doivent avoir Redis OSS AUTH activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache7.](elasticache-controls.md#elasticache-7) | ElastiCache les clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1). | Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ElasticBeanstalk2.](elasticbeanstalk-controls.md#elasticbeanstalk-2) | Les mises à jour de la plateforme gérée Elastic Beanstalk doivent être activées | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ElasticBeanstalk3.](elasticbeanstalk-controls.md#elasticbeanstalk-3) | Elastic Beanstalk devrait diffuser les logs vers CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ELB.1](elb-controls.md#elb-1) | Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ELB.2](elb-controls.md#elb-2) | Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.3](elb-controls.md#elb-3) | Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.4](elb-controls.md#elb-4) | Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.5](elb-controls.md#elb-5) | La journalisation des applications et des équilibreurs de charge classiques doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.6](elb-controls.md#elb-6) | La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.7](elb-controls.md#elb-7) | Le drainage des connexions doit être activé sur les équilibreurs de charge classiques | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.8](elb-controls.md#elb-8) | Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie dotée d'une configuration solide | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.9](elb-controls.md#elb-9) | L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.10](elb-controls.md#elb-10) | Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ELB.12](elb-controls.md#elb-12) | Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.13](elb-controls.md#elb-13) | Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ELB.14](elb-controls.md#elb-14) | Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.16](elb-controls.md#elb-16) | Les équilibreurs de charge d'application doivent être associés à une ACL AWS Web WAF | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.17](elb-controls.md#elb-17) | Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.18](elb-controls.md#elb-18) | Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.21](elb-controls.md#elb-21) | Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.22](elb-controls.md#elb-22) | Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EMR.1](emr-controls.md#emr-1) | Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EMR 2](emr-controls.md#emr-2) | Le paramètre de blocage de l'accès public à Amazon EMR doit être activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EMR 3](emr-controls.md#emr-3) | Les configurations de sécurité Amazon EMR doivent être chiffrées au repos | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EMR 4](emr-controls.md#emr-4) | Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.1](es-controls.md#es-1) | Le chiffrement au repos doit être activé dans les domaines Elasticsearch | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ES.2](es-controls.md#es-2) | Les domaines Elasticsearch ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité de base, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ES.3](es-controls.md#es-3) | Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.4](es-controls.md#es-4) | La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.5](es-controls.md#es-5) | La journalisation des audits doit être activée dans les domaines Elasticsearch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.6](es-controls.md#es-6) | Les domaines Elasticsearch doivent comporter au moins trois nœuds de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.7](es-controls.md#es-7) | Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.8](es-controls.md#es-8) | Les connexions aux domaines Elasticsearch doivent être chiffrées à l'aide de la dernière politique de sécurité TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.9](es-controls.md#es-9) | Les domaines Elasticsearch doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EventBridge2.](eventbridge-controls.md#eventbridge-2) | EventBridge les bus d'événements doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EventBridge3.](eventbridge-controls.md#eventbridge-3) | EventBridge les bus d'événements personnalisés doivent être associés à une politique basée sur les ressources | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EventBridge4.](eventbridge-controls.md#eventbridge-4) | EventBridge la réplication des événements doit être activée sur les points de terminaison globaux | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [FraudDetector1](frauddetector-controls.md#frauddetector-1). | Les types d'entités Amazon Fraud Detector doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FraudDetector2.](frauddetector-controls.md#frauddetector-2) | Les étiquettes Amazon Fraud Detector doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FraudDetector3.](frauddetector-controls.md#frauddetector-3) | Les résultats d'Amazon Fraud Detector doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FraudDetector4.](frauddetector-controls.md#frauddetector-4) | Les variables Amazon Fraud Detector doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FSx1](fsx-controls.md#fsx-1). | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [FSx2.](fsx-controls.md#fsx-2) | FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [FSx3.](fsx-controls.md#fsx-3) | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [FSx4.](fsx-controls.md#fsx-4) | FSx pour les systèmes de fichiers NetApp ONTAP doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [FSx5.](fsx-controls.md#fsx-5) | FSx pour Windows File Server, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Colle.1](glue-controls.md#glue-1) | AWS Glue les emplois doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Colle.3](glue-controls.md#glue-3) | AWS Glue les transformations de machine learning doivent être cryptées au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Colle.4](glue-controls.md#glue-4) | AWS Glue Les tâches Spark doivent s'exécuter sur les versions prises en charge de AWS Glue | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1). | Les accélérateurs Global Accelerator doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty1](guardduty-controls.md#guardduty-1). | GuardDuty doit être activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty2.](guardduty-controls.md#guardduty-2) | GuardDuty les filtres doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty3.](guardduty-controls.md#guardduty-3) | GuardDuty IPSets doit être étiqueté | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty4.](guardduty-controls.md#guardduty-4) | GuardDuty les détecteurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty5.](guardduty-controls.md#guardduty-5) | GuardDuty La surveillance du journal d'audit EKS doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty6.](guardduty-controls.md#guardduty-6) | GuardDuty La protection Lambda doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty7.](guardduty-controls.md#guardduty-7) | GuardDuty La surveillance du temps d'exécution EKS doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty8.](guardduty-controls.md#guardduty-8) | GuardDuty La protection contre les programmes malveillants pour EC2 doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty9.](guardduty-controls.md#guardduty-9) | GuardDuty La protection RDS doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.10](guardduty-controls.md#guardduty-10) | GuardDuty La protection S3 doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.11](guardduty-controls.md#guardduty-11) | GuardDuty La surveillance du temps d'exécution doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.12](guardduty-controls.md#guardduty-12) | GuardDuty La surveillance du temps d'exécution ECS doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.13](guardduty-controls.md#guardduty-13) | GuardDuty La surveillance du temps d'exécution EC2 doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.1](iam-controls.md#iam-1) | Les politiques IAM ne doivent pas autoriser des privilèges administratifs « \$1 » complets | CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité AWS de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [IAM.2](iam-controls.md#iam-2) | Les utilisateurs IAM ne doivent pas être associés à des politiques IAM | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [IAM.3](iam-controls.md#iam-3) | Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.4](iam-controls.md#iam-4) | La clé d'accès de l'utilisateur root IAM ne doit pas exister | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, AWS PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.5](iam-controls.md#iam-5) | La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.6](iam-controls.md#iam-6) | Le MFA matériel doit être activé pour l'utilisateur root | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.7](iam-controls.md#iam-7) | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [IAM.8](iam-controls.md#iam-8) | Les informations d'identification utilisateur IAM non utilisées doivent être supprimées | CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité AWS de base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.9](iam-controls.md#iam-9) | La MFA doit être activée pour l'utilisateur root | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [JE SUIS 10](iam-controls.md#iam-10) | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | NIST SP 800-171 Rév. 2, PCI DSS v3.2.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.11](iam-controls.md#iam-11) | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.12](iam-controls.md#iam-12) | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.13](iam-controls.md#iam-13) | Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.14](iam-controls.md#iam-14) | Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.15](iam-controls.md#iam-15) | Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.16](iam-controls.md#iam-16) | Vérifier que la politique de mot de passe IAM empêche la réutilisation d'un mot de passe | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.17](iam-controls.md#iam-17) | Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.18](iam-controls.md#iam-18) | Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [JE SUIS 19](iam-controls.md#iam-19) | La MFA doit être activée pour tous les utilisateurs IAM | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.21](iam-controls.md#iam-21) | Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [JE SUIS 22](iam-controls.md#iam-22) | Les informations d'identification de l'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [J'AI 23 ANS](iam-controls.md#iam-23) | Les analyseurs IAM Access Analyzer doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [JE SUIS 24](iam-controls.md#iam-24) | Les rôles IAM doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [J'AI 25 ANS](iam-controls.md#iam-25) | Les utilisateurs IAM doivent être tagués | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [JE SUIS 26](iam-controls.md#iam-26) | SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [JE SUIS 27](iam-controls.md#iam-27) | La AWSCloud ShellFullAccess politique ne doit pas être attachée aux identités IAM | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [JE SUIS 28](iam-controls.md#iam-28) | L'analyseur d'accès externe IAM Access Analyzer doit être activé | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur.1](inspector-controls.md#inspector-1) | Le scan Amazon Inspector EC2 doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur 2](inspector-controls.md#inspector-2) | Le scan ECR d'Amazon Inspector doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur.3](inspector-controls.md#inspector-3) | La numérisation du code Lambda par Amazon Inspector doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur.4](inspector-controls.md#inspector-4) | Le scan standard Amazon Inspector Lambda doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IoT.1](iot-controls.md#iot-1) | AWS IoT Device Defender les profils de sécurité doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT 2](iot-controls.md#iot-2) | AWS IoT Core les mesures d'atténuation doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT. 3](iot-controls.md#iot-3) | AWS IoT Core les dimensions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT 4](iot-controls.md#iot-4) | AWS IoT Core les autorisateurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Internet des objets 5](iot-controls.md#iot-5) | AWS IoT Core les alias de rôle doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT .6](iot-controls.md#iot-6) | AWS IoT Core les politiques doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TEvents 1.1](iotevents-controls.md#iotevents-1) | AWS IoT Events les entrées doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TEvents 2.2](iotevents-controls.md#iotevents-2) | AWS IoT Events les modèles de détecteurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TEvents 1.3](iotevents-controls.md#iotevents-3) | AWS IoT Events les modèles d'alarme doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.1](iotsitewise-controls.md#iotsitewise-1) | AWS IoT SiteWise les modèles d'actifs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.2](iotsitewise-controls.md#iotsitewise-2) | AWS IoT SiteWise les tableaux de bord doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.3](iotsitewise-controls.md#iotsitewise-3) | AWS IoT SiteWise les passerelles doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.4](iotsitewise-controls.md#iotsitewise-4) | AWS IoT SiteWise les portails doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.5](iotsitewise-controls.md#iotsitewise-5) | AWS IoT SiteWise les projets doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.1](iottwinmaker-controls.md#iottwinmaker-1) | AWS Les tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.2](iottwinmaker-controls.md#iottwinmaker-2) | AWS Les TwinMaker espaces de travail IoT doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3) | AWS Les TwinMaker scènes IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.4](iottwinmaker-controls.md#iottwinmaker-4) | AWS TwinMaker Les entités IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TWireless 1.1](iotwireless-controls.md#iotwireless-1) | AWS Les groupes de multidiffusion IoT Wireless doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TWireless 2.2](iotwireless-controls.md#iotwireless-2) | AWS Les profils de service IoT Wireless doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TWireless 1.3](iotwireless-controls.md#iotwireless-3) | AWS Les tâches IoT Wireless FUOTA doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IVS.1](ivs-controls.md#ivs-1) | Les paires de clés de lecture IVS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IVS.2](ivs-controls.md#ivs-2) | Les configurations d'enregistrement IVS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IVS.3](ivs-controls.md#ivs-3) | Les canaux IVS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Espaces clés. 1](keyspaces-controls.md#keyspaces-1) | Les espaces de touches Amazon Keyspaces doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Kinesis.1](kinesis-controls.md#kinesis-1) | Les flux Kinesis doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Kinése.2](kinesis-controls.md#kinesis-2) | Les flux Kinesis doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Kinése.3](kinesis-controls.md#kinesis-3) | Les flux Kinesis doivent bénéficier d'une période de conservation des données adéquate | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [KMS.1](kms-controls.md#kms-1) | Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [KMS.2](kms-controls.md#kms-2) | Les principaux IAM ne doivent pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [KMS.3](kms-controls.md#kms-3) | AWS KMS keys ne doit pas être supprimé par inadvertance | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [KMS.4](kms-controls.md#kms-4) | AWS KMS key la rotation doit être activée | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [KMS 5](kms-controls.md#kms-5) | Les clés KMS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.1](lambda-controls.md#lambda-1) | Les politiques relatives à la fonction Lambda devraient interdire l'accès public | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.2](lambda-controls.md#lambda-2) | Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.3](lambda-controls.md#lambda-3) | Les fonctions Lambda doivent se trouver dans un VPC | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.5](lambda-controls.md#lambda-5) | Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lambda 6](lambda-controls.md#lambda-6) | Les fonctions Lambda doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lambda 7](lambda-controls.md#lambda-7) | Le suivi AWS X-Ray actif doit être activé pour les fonctions Lambda | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Macie.1](macie-controls.md#macie-1) | Amazon Macie devrait être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Macie 2](macie-controls.md#macie-2) | La découverte automatique des données sensibles par Macie doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [MSK 1](msk-controls.md#msk-1) | Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 2](msk-controls.md#msk-2) | Les clusters MSK doivent avoir une surveillance améliorée configurée | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 3](msk-controls.md#msk-3) | Les connecteurs MSK Connect doivent être chiffrés pendant le transport | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 4](msk-controls.md#msk-4) | L'accès public aux clusters MSK doit être désactivé | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 5](msk-controls.md#msk-5) | La journalisation des connecteurs MSK doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK.6](msk-controls.md#msk-6) | Les clusters MSK doivent désactiver l'accès non authentifié | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MQ.2](mq-controls.md#mq-2) | Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MQ.4](mq-controls.md#mq-4) | Les courtiers Amazon MQ doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [MQ.5](mq-controls.md#mq-5) | Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MQ.6](mq-controls.md#mq-6) | Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.1](neptune-controls.md#neptune-1) | Les clusters de base de données Neptune doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.2](neptune-controls.md#neptune-2) | Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.3](neptune-controls.md#neptune-3) | Les instantanés du cluster de base de données Neptune ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.4](neptune-controls.md#neptune-4) | La protection contre les suppressions doit être activée pour les clusters de base de données Neptune | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.5](neptune-controls.md#neptune-5) | Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Neptune.6](neptune-controls.md#neptune-6) | Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.7](neptune-controls.md#neptune-7) | L'authentification de base de données IAM doit être activée pour les clusters de base de données Neptune | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.8](neptune-controls.md#neptune-8) | Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.9](neptune-controls.md#neptune-9) | Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1). | Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall2.](networkfirewall-controls.md#networkfirewall-2) | La journalisation par Network Firewall doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [NetworkFirewall3.](networkfirewall-controls.md#networkfirewall-3) | Les politiques de Network Firewall doivent être associées à au moins un groupe de règles | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall4.](networkfirewall-controls.md#networkfirewall-4) | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets complets. | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5) | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés. | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall6.](networkfirewall-controls.md#networkfirewall-6) | Le groupe de règles de pare-feu réseau sans état ne doit pas être vide | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7) | Les pare-feux Network Firewall doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8) | Les politiques de pare-feu de Network Firewall doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9) | La protection contre les suppressions doit être activée sur les pare-feux Network Firewall | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10) | La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.1](opensearch-controls.md#opensearch-1) | OpenSearch le chiffrement au repos doit être activé dans les domaines | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.2](opensearch-controls.md#opensearch-2) | OpenSearch les domaines ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.3](opensearch-controls.md#opensearch-3) | OpenSearch les domaines doivent chiffrer les données envoyées entre les nœuds | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.4](opensearch-controls.md#opensearch-4) | OpenSearch la journalisation des erreurs de domaine dans CloudWatch Logs doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.5](opensearch-controls.md#opensearch-5) | OpenSearch la journalisation des audits doit être activée pour les domaines | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.6](opensearch-controls.md#opensearch-6) | OpenSearch les domaines doivent comporter au moins trois nœuds de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.7](opensearch-controls.md#opensearch-7) | OpenSearch le contrôle d'accès détaillé des domaines doit être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.8](opensearch-controls.md#opensearch-8) | Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [OpenSearch.9](opensearch-controls.md#opensearch-9) | OpenSearch les domaines doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Opensearch.10](opensearch-controls.md#opensearch-10) | OpenSearch la dernière mise à jour logicielle doit être installée sur les domaines | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [OpenSearch.11](opensearch-controls.md#opensearch-11) | OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [PCA.1](pca-controls.md#pca-1) | AWS CA privée l'autorité de certification racine doit être désactivée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [PCA.2](pca-controls.md#pca-2) | AWS Les autorités de certification privées de l'autorité de certification doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.1](rds-controls.md#rds-1) | L'instantané RDS doit être privé | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.2](rds-controls.md#rds-2) | Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.3](rds-controls.md#rds-3) | Le chiffrement au repos des instances de base de données RDS doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de base v1.0.0, AWS NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.4](rds-controls.md#rds-4) | Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.5](rds-controls.md#rds-5) | Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.6](rds-controls.md#rds-6) | Une surveillance améliorée doit être configurée pour les instances de base de données RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.7](rds-controls.md#rds-7) | La protection contre la suppression des clusters RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.8](rds-controls.md#rds-8) | La protection contre la suppression des instances de base de données RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.9](rds-controls.md#rds-9) | Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.10](rds-controls.md#rds-10) | L'authentification IAM doit être configurée pour les instances RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.11](rds-controls.md#rds-11) | Les sauvegardes automatiques doivent être activées sur les instances RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.12](rds-controls.md#rds-12) | L'authentification IAM doit être configurée pour les clusters RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.13](rds-controls.md#rds-13) | Les mises à niveau automatiques des versions mineures de RDS doivent être activées | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.14](rds-controls.md#rds-14) | Le retour en arrière doit être activé sur les clusters Amazon Aurora | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.15](rds-controls.md#rds-15) | Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.16](rds-controls.md#rds-16) | Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.17](rds-controls.md#rds-17) | Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.18](rds-controls.md#rds-18) | Les instances RDS doivent être déployées dans un VPC | | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.19](rds-controls.md#rds-19) | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.20](rds-controls.md#rds-20) | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques liés aux instances de base de données | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.21](rds-controls.md#rds-21) | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données. | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.22](rds-controls.md#rds-22) | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.23](rds-controls.md#rds-23) | Les instances RDS ne doivent pas utiliser de port par défaut du moteur de base de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.24](rds-controls.md#rds-24) | Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.25](rds-controls.md#rds-25) | Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.26](rds-controls.md#rds-26) | Les instances de base de données RDS doivent être protégées par un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [RDS.27](rds-controls.md#rds-27) | Les clusters de base de données RDS doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.28](rds-controls.md#rds-28) | Les clusters de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.29](rds-controls.md#rds-29) | Les instantanés du cluster de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.30](rds-controls.md#rds-30) | Les instances de base de données RDS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.31](rds-controls.md#rds-31) | Les groupes de sécurité de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.32](rds-controls.md#rds-32) | Les instantanés de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.33](rds-controls.md#rds-33) | Les groupes de sous-réseaux de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.34](rds-controls.md#rds-34) | Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans CloudWatch Logs | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.35](rds-controls.md#rds-35) | La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.36](rds-controls.md#rds-36) | Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.37](rds-controls.md#rds-37) | Les clusters de base de données Aurora PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.38](rds-controls.md#rds-38) | Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.39](rds-controls.md#rds-39) | Les instances de base de données RDS pour MySQL doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.40](rds-controls.md#rds-40) | Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.41](rds-controls.md#rds-41) | Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.42](rds-controls.md#rds-42) | Les instances de base de données RDS pour MariaDB doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [RDS.43](rds-controls.md#rds-43) | Les proxys de base de données RDS doivent exiger le chiffrement TLS pour les connexions | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS 44](rds-controls.md#rds-44) | Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.45](rds-controls.md#rds-45) | La journalisation des audits doit être activée sur les clusters de bases de données Aurora MySQL | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.46](rds-controls.md#rds-46) | Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics dotés de routes vers des passerelles Internet | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.47](rds-controls.md#rds-47) | Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données | AWS Bonnes pratiques de sécurité fondamentales | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.48](rds-controls.md#rds-48) | Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données | AWS Bonnes pratiques de sécurité fondamentales | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.50](rds-controls.md#rds-50) | Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Oui | Changement déclenché |
| [Redshift.1](redshift-controls.md#redshift-1) | Les clusters Amazon Redshift devraient interdire l'accès public | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.2](redshift-controls.md#redshift-2) | Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.3](redshift-controls.md#redshift-3) | Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.4](redshift-controls.md#redshift-4) | La journalisation des audits doit être activée sur les clusters Amazon Redshift | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.6](redshift-controls.md#redshift-6) | Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.7](redshift-controls.md#redshift-7) | Les clusters Redshift doivent utiliser un routage VPC amélioré | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.8](redshift-controls.md#redshift-8) | Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.10](redshift-controls.md#redshift-10) | Les clusters Redshift doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.11](redshift-controls.md#redshift-11) | Les clusters Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.12](redshift-controls.md#redshift-12) | Les notifications d'abonnement aux événements Redshift doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.13](redshift-controls.md#redshift-13) | Les instantanés du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.14](redshift-controls.md#redshift-14) | Les groupes de sous-réseaux du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.15](redshift-controls.md#redshift-15) | Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Redshift.16](redshift-controls.md#redshift-16) | Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.17](redshift-controls.md#redshift-17) | Les groupes de paramètres du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.18](redshift-controls.md#redshift-18) | Les déploiements multi-AZ doivent être activés sur les clusters Redshift | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1). | Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless2.](redshiftserverless-controls.md#redshiftserverless-2) | Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless3.](redshiftserverless-controls.md#redshiftserverless-3) | Les groupes de travail Redshift Serverless devraient interdire l'accès public | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless4.](redshiftserverless-controls.md#redshiftserverless-4) | Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5) | Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless6.](redshiftserverless-controls.md#redshiftserverless-6) | Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Itinéraire 53.1](route53-controls.md#route53-1) | Les bilans de santé de la Route 53 doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Itinéraire 53.2](route53-controls.md#route53-2) | Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.1](s3-controls.md#s3-1) | Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [S3.2](s3-controls.md#s3-2) | Les compartiments S3 à usage général devraient bloquer l'accès public à la lecture | AWS Bonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [S3.3](s3-controls.md#s3-3) | Les compartiments S3 à usage général devraient bloquer l'accès public en écriture | AWS Bonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [S3.5](s3-controls.md#s3-5) | Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation du protocole SSL | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.6](s3-controls.md#s3-6) | Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.7](s3-controls.md#s3-7) | Les compartiments S3 à usage général doivent utiliser la réplication entre régions | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.8](s3-controls.md#s3-8) | Les compartiments S3 à usage général devraient bloquer l'accès public | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.9](s3-controls.md#s3-9) | La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.10](s3-controls.md#s3-10) | Les compartiments S3 à usage général dont la gestion des versions est activée doivent avoir des configurations de cycle de vie | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.11](s3-controls.md#s3-11) | Les notifications d'événements doivent être activées dans les compartiments S3 à usage général | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [S3.12](s3-controls.md#s3-12) | ACLs ne doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.13](s3-controls.md#s3-13) | Les compartiments S3 à usage général doivent avoir des configurations de cycle de vie | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [S3,14](s3-controls.md#s3-14) | La gestion des versions des compartiments S3 à usage général doit être activée | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,15](s3-controls.md#s3-15) | Object Lock doit être activé dans les compartiments S3 à usage général | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [S3.17](s3-controls.md#s3-17) | Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys | NIST SP 800-53 Rév. 5, NIST SP 800-171 Rév. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,19](s3-controls.md#s3-19) | Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,20](s3-controls.md#s3-20) | La suppression MFA doit être activée dans les compartiments S3 à usage général | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,22](s3-controls.md#s3-22) | Les compartiments S3 à usage général doivent enregistrer les événements d'écriture au niveau de l'objet | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [S3,23](s3-controls.md#s3-23) | Les compartiments S3 à usage général doivent enregistrer les événements de lecture au niveau de l'objet | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [S3,24](s3-controls.md#s3-24) | Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 doivent être activés | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,25](s3-controls.md#s3-25) | Les compartiments d'annuaire S3 doivent avoir des configurations de cycle de vie | AWS Bonnes pratiques de sécurité fondamentales | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SageMaker1](sagemaker-controls.md#sagemaker-1). | Les instances Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SageMaker2.](sagemaker-controls.md#sagemaker-2) | SageMaker les instances de bloc-notes doivent être lancées dans un VPC personnalisé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker3.](sagemaker-controls.md#sagemaker-3) | Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker4.](sagemaker-controls.md#sagemaker-4) | SageMaker le nombre d'instances initial des variantes de production des terminaux doit être supérieur à 1 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SageMaker5.](sagemaker-controls.md#sagemaker-5) | SageMaker l'isolation du réseau doit être activée sur les modèles | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker6.](sagemaker-controls.md#sagemaker-6) | SageMaker les configurations d'image de l'application doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SageMaker7.](sagemaker-controls.md#sagemaker-7) | SageMaker les images doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SageMaker8.](sagemaker-controls.md#sagemaker-8) | SageMaker les instances de bloc-notes doivent fonctionner sur les plateformes prises en charge | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SageMaker9.](sagemaker-controls.md#sagemaker-9) | SageMaker le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des données | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.10](sagemaker-controls.md#sagemaker-10) | SageMaker les définitions des tâches d'explicabilité du modèle doivent avoir le chiffrement du trafic inter-conteneurs activé | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.11](sagemaker-controls.md#sagemaker-11) | SageMaker l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des données | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.12](sagemaker-controls.md#sagemaker-12) | SageMaker biais du modèle : les définitions des tâches doivent avoir l'isolation du réseau activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.13](sagemaker-controls.md#sagemaker-13) | SageMaker le chiffrement du trafic entre conteneurs doit être activé dans les définitions de tâches relatives à la qualité du modèle | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.14](sagemaker-controls.md#sagemaker-14) | SageMaker l'isolation du réseau doit être activée dans les plannings de surveillance | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.15](sagemaker-controls.md#sagemaker-15) | SageMaker le chiffrement du trafic entre conteneurs doit être activé dans les définitions de tâches basées sur le biais du modèle | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SecretsManager1](secretsmanager-controls.md#secretsmanager-1). | La rotation automatique des secrets des secrets du Gestionnaire de secrets doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SecretsManager2.](secretsmanager-controls.md#secretsmanager-2) | Les secrets de Secrets Manager configurés avec une rotation automatique doivent être correctement pivotés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SecretsManager3.](secretsmanager-controls.md#secretsmanager-3) | Supprimer les secrets inutilisés de Secrets Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [SecretsManager4.](secretsmanager-controls.md#secretsmanager-4) | Les secrets de Secrets Manager doivent faire l'objet d'une rotation dans un délai spécifié | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5) | Les secrets de Secrets Manager doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1). | Les portefeuilles Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SES.1](ses-controls.md#ses-1) | Les listes de contacts SES doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [VOIR. 2](ses-controls.md#ses-2) | Les ensembles de configuration SES doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [VOIR. 3](ses-controls.md#ses-3) | Les ensembles de configuration SES doivent avoir le protocole TLS activé pour l'envoi d'e-mails | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SNS.1](sns-controls.md#sns-1) | Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SNS.3](sns-controls.md#sns-3) | Les sujets SNS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SNS.4](sns-controls.md#sns-4) | Les politiques d'accès aux rubriques SNS ne doivent pas autoriser l'accès public | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SQS.1](sqs-controls.md#sqs-1) | Les files d'attente Amazon SQS doivent être chiffrées au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SQ. 2](sqs-controls.md#sqs-2) | Les files d'attente SQS doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SQS.3](sqs-controls.md#sqs-3) | Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.1](ssm-controls.md#ssm-1) | Les instances EC2 doivent être gérées par AWS Systems Manager | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.2](ssm-controls.md#ssm-2) | Les instances EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.3](ssm-controls.md#ssm-3) | Les instances EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.4](ssm-controls.md#ssm-4) | Les documents du SSM ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SSM.5](ssm-controls.md#ssm-5) | Les documents SSM doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SSM.6](ssm-controls.md#ssm-6) | La CloudWatch journalisation de SSM Automation doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SSM.7](ssm-controls.md#ssm-7) | Le paramètre de blocage du partage public doit être activé pour les documents SSM | AWS Bonnes pratiques de sécurité de base v1.0.0 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [StepFunctions1](stepfunctions-controls.md#stepfunctions-1). | Step Functions : la journalisation doit être activée sur les machines d'état | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [StepFunctions2.](stepfunctions-controls.md#stepfunctions-2) | Les activités de Step Functions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.1](transfer-controls.md#transfer-1) | Les flux de travail de Transfer Family doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.2](transfer-controls.md#transfer-2) | Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Transférement.3](transfer-controls.md#transfer-3) | La journalisation des connecteurs Transfer Family doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Transfer.4](transfer-controls.md#transfer-4) | Les accords Transfer Family devraient être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.5](transfer-controls.md#transfer-5) | Les certificats Transfer Family doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.6](transfer-controls.md#transfer-6) | Les connecteurs Transfer Family doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.7](transfer-controls.md#transfer-7) | Les profils Transfer Family doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [WAF.1](waf-controls.md#waf-1) | AWS La journalisation ACL du WAF Classic Global Web doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [WAF.2](waf-controls.md#waf-2) | AWS Les règles régionales du WAF Classic doivent comporter au moins une condition | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.3](waf-controls.md#waf-3) | AWS Les groupes de règles régionaux WAF Classic doivent avoir au moins une règle | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.4](waf-controls.md#waf-4) | AWS Le site Web régional WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.6](waf-controls.md#waf-6) | AWS Les règles globales du WAF Classic doivent comporter au moins une condition | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.7](waf-controls.md#waf-7) | AWS Les groupes de règles globaux WAF Classic doivent avoir au moins une règle | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.8](waf-controls.md#waf-8) | AWS Le Web mondial WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.10](waf-controls.md#waf-10) | AWS Le Web WAF ACLs doit avoir au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.11](waf-controls.md#waf-11) | AWS La journalisation des ACL Web WAF doit être activée | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [WAF.12](waf-controls.md#waf-12) | AWS Les règles WAF doivent avoir les CloudWatch métriques activées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WorkSpaces1](workspaces-controls.md#workspaces-1). | WorkSpaces les volumes utilisateur doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WorkSpaces2.](workspaces-controls.md#workspaces-2) | WorkSpaces les volumes racines doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
# Journal des modifications pour les contrôles CSPM de Security Hub
Le journal des modifications suivant suit les modifications importantes apportées aux contrôles CSPM existants du AWS Security Hub, qui peuvent entraîner des modifications de l'état général d'un contrôle et de l'état de conformité de ses conclusions. Pour plus d'informations sur la manière dont Security Hub CSPM évalue l'état des contrôles, consultez. [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md) Les modifications peuvent prendre quelques jours après leur entrée dans ce journal pour affecter toutes les Régions AWS entités dans lesquelles le contrôle est disponible.
Ce journal suit les changements survenus depuis avril 2023. Choisissez un contrôle pour consulter des informations supplémentaires le concernant. Les modifications de titre sont indiquées dans la description détaillée d'un contrôle pendant 90 jours.
| Date de modification | ID et titre du contrôle | Description du changement |
| --- | --- | --- |
| 3 avril 2026 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. Security Hub CSPM a modifié la valeur du paramètre de ce contrôle de à`1.32`. `1.33` Le support standard pour la version 1.32 de Kubernetes dans Amazon EKS a pris fin le 23 mars 2026. |
| 3 avril 2026 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Le paramètre Lambda.2 pour les environnements d'exécution pris en charge n'est plus inclus car ruby3.2 Lambda a déconseillé ce runtime. |
| 24 mars 2026 | [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) | Security Hub CSPM a mis à jour le titre du contrôle pour indiquer que le contrôle vérifie tous les clusters de base de données RDS. |
| 24 mars 2026 | [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) | Security Hub CSPM a mis à jour le titre et la description du contrôle pour indiquer que le contrôle vérifie les définitions de tâches ECS. Security Hub CSPM a également mis à jour le contrôle afin de ne pas générer de résultats pour les définitions de tâches `runtimePlatform` configurées pour spécifier une famille de `WINDOWS_SERVER` systèmes d'exploitation. |
| 9 mars 2026 | [AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos | Security Hub CSPM a retiré ce contrôle et l'a retiré de la norme [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 9 mars 2026 | [AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport | Security Hub CSPM a retiré ce contrôle et l'a retiré de la norme [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 4 mars 2026 | [ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés | Security Hub CSPM a retiré ce contrôle et l'a retiré de la norme [AWS Foundational Security Best Practices (FSBP) et de la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST SP](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 800-53 Rev. 5. |
| 5 février 2026 | [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) | Security Hub CSPM supprimera ce contrôle et le supprimera de toutes les normes CSPM de Security Hub applicables le 9 mars 2026. AWS AppSync fournit un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 5 février 2026 | [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) | Security Hub CSPM supprimera ce contrôle et le supprimera de toutes les normes CSPM de Security Hub applicables le 9 mars 2026. AWS AppSync fournit un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 16 janvier 2026 | [[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1) | Security Hub CSPM a indiqué que ce contrôle serait retiré et supprimé de toutes les normes CSPM de Security Hub applicables après le 16 février 2026. |
| 12 janvier 2026 | [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4) | Security Hub CSPM a mis à jour ce contrôle pour supprimer le `loggingEnabled` paramètre. |
| 12 janvier 2026 | [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures | Security Hub CSPM a retiré le contrôle et l'a retiré de toutes les normes applicables. Security Hub CSPM a retiré le contrôle en raison des exigences d'Amazon MQ relatives aux mises à niveau automatiques des versions mineures. [Auparavant, le contrôle s'appliquait à la norme [AWS Foundational Security Best Practices (FSBP), à la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 et à la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) |
| 12 janvier 2026 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge ce `dotnet10` contrôle en tant que valeur de paramètre. AWS Lambda support ajouté pour ce runtime. |
| 15 décembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge `python3.9` comme valeur de paramètre pour ce contrôle. AWS Lambda ne prend plus en charge ce runtime. |
| 12 décembre 2025 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. Security Hub CSPM a modifié la valeur du paramètre de ce contrôle de à`1.31`. `1.32` Le support standard pour la version 1.31 de Kubernetes dans Amazon EKS a pris fin le 26 novembre 2025. |
| 21 novembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge `nodejs24.x` et en `python3.14` tant que valeurs de paramètres pour ce contrôle. AWS Lambda support ajouté pour ces environnements d'exécution. |
| 14 novembre 2025 | [[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15) | Security Hub CSPM a mis à jour la description et la justification de ce contrôle. Auparavant, le contrôle vérifiait uniquement l'attribution automatique d'adresses IP IPv4 publiques dans les sous-réseaux Amazon VPC à l'aide de l'indicateur. `MapPublicIpOnLaunch` Ce contrôle vérifie désormais à la fois l'attribution automatique des adresses IP IPv6 publiques IPv4 et l'attribution automatique. La description et la justification du contrôle ont été mises à jour pour refléter ces changements. |
| 14 novembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge ce `java25` contrôle en tant que valeur de paramètre. AWS Lambda support ajouté pour ce runtime. |
| 13 novembre 2025 | [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`HIGH`. `CRITICAL` Le fait d'autoriser l'accès public aux rubriques Amazon SNS représente un risque de sécurité important. |
| 13 novembre 2025 | [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`HIGH`. `CRITICAL` Le fait d'autoriser l'accès public aux files d'attente Amazon SQS représente un risque de sécurité important. |
| 13 novembre 2025 | [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`MEDIUM`. `HIGH` Ce type de surveillance de l'exécution fournit une détection améliorée des menaces pour les ressources Amazon EKS. |
| 13 novembre 2025 | [[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` Les mises à niveau mineures des versions incluent les correctifs de sécurité nécessaires au maintien de la sécurité des courtiers Amazon MQ. |
| 13 novembre 2025 | [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` Les mises à jour logicielles incluent les correctifs de sécurité nécessaires au maintien de la sécurité OpenSearch du domaine. |
| 13 novembre 2025 | [[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` La protection contre la suppression permet d'empêcher la suppression accidentelle de bases de données Amazon RDS et la suppression de bases de données RDS par des entités non autorisées. |
| 13 novembre 2025 | [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` AWS CloudTrail les données de journalisation dans Amazon CloudWatch Logs peuvent être utilisées pour des activités d'audit, des alarmes et d'autres opérations de sécurité importantes. |
| 13 novembre 2025 | [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`HIGH`. `MEDIUM` Le partage de AWS Service Catalog portefeuilles avec des comptes spécifiques peut être intentionnel et ne signifie pas nécessairement qu'un portefeuille est accessible au public. |
| 13 novembre 2025 | [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`MEDIUM`. `LOW` Les noms `cloudfront.net` de domaine par défaut pour les CloudFront distributions Amazon sont générés de manière aléatoire, ce qui réduit les risques de sécurité. |
| 13 novembre 2025 | [[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`MEDIUM`. `LOW` Dans les déploiements multi-instances, d'autres instances saines peuvent gérer les sessions utilisateur lorsqu'une instance est interrompue sans épuiser la connexion, ce qui réduit l'impact opérationnel et les risques de disponibilité. |
| 13 novembre 2025 | [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM a mis à jour ce contrôle pour supprimer le paramètre facultatif`validAdminUserNames`. |
| 23 octobre 2025 | [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) | Security Hub CSPM a annulé les modifications apportées au titre, à la description et à la règle de ce contrôle le 14 octobre 2025. |
| 22 octobre 2025 | [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM a mis à jour ce contrôle afin de ne pas générer de résultats pour les CloudFront distributions Amazon utilisant des origines personnalisées. |
| 16 octobre 2025 | [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) | Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour utiliser une politique de sécurité TLS recommandée. Security Hub CSPM prend désormais en charge `TLSv1.2_2025` et en `TLSv1.3_2025` tant que valeurs de paramètres pour ce contrôle. |
| 14 octobre 2025 | [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) | Security Hub CSPM a modifié le titre, la description et la règle de ce contrôle. Auparavant, le contrôle contrôlait les clusters Redis OSS et tous les groupes de réplication à l'aide de la règle [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html). Le titre du contrôle était le suivant : Les *sauvegardes automatiques des clusters ElastiCache (Redis OSS) devraient être activées*. Ce contrôle vérifie désormais les clusters Valkey en plus des clusters Redis OSS et tous les groupes de réplication, en utilisant la règle [elasticache-automatic-backup-check-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html). Le nouveau titre et la nouvelle description indiquent que le contrôle vérifie les deux types de clusters. |
| 5 octobre 2025 | [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) | La règle de ce contrôle a été mise à jour afin de détecter également si aucune mise à jour logicielle n'est disponible sur un domaine Amazon OpenSearch Service et si le statut de la mise à jour n'est pas éligible. `PASSED` Auparavant, ce contrôle ne générait un `PASSED` résultat que si aucune mise à jour logicielle n'était disponible sur un OpenSearch domaine et que l'état de la mise à jour était complet. |
| 24 septembre 2025 | [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut [RedshiftServerless.7] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom de base de données par défaut | Security Hub CSPM a retiré ces contrôles et les a retirés de toutes les normes applicables. Security Hub CSPM a retiré ces contrôles en raison des limites inhérentes à Amazon Redshift qui empêchaient de corriger efficacement les résultats `FAILED` des contrôles. Auparavant, les contrôles s'appliquaient à la norme [AWS Foundational Security Best Practices (FSBP) et à la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST SP 800-53](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Rev. 5. [Le contrôle Redshift.9 s'appliquait également à la norme de gestion des services.AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) |
| 9 septembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge `nodejs18.x` comme valeur de paramètre pour ce contrôle. AWS Lambda ne prend plus en charge les environnements d'exécution de Node.js 18. |
| 13 août 2025 | [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément le fait que le contrôle vérifie le réglage du `EnableNetworkIsolation` paramètre des modèles hébergés par Amazon SageMaker AI. Auparavant, le titre de ce contrôle était : *SageMaker models should block inbound traffic*. |
| 13 août 2025 | [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) | Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément l'étendue et la nature de la vérification effectuée par le contrôle. Auparavant, le titre de ce contrôle était : *EFS mount targets should not be associated with a public subnet*. |
| 24 juillet 2025 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. Security Hub CSPM a modifié la valeur du paramètre de ce contrôle de à`1.30`. `1.31` Le support standard pour la version 1.30 de Kubernetes dans Amazon EKS a pris fin le 23 juillet 2025. |
| 23 juillet 2025 | [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) | Security Hub CSPM a modifié le titre de ce contrôle. Le nouveau titre reflète plus précisément le fait que le contrôle ne vérifie que les demandes Amazon EC2 Spot Fleet qui spécifient les paramètres de lancement. Auparavant, le titre de ce contrôle était : *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*. |
| 30 juin 2025 | [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) | Security Hub CSPM a supprimé ce contrôle de la [norme PCI DSS](pci-standard.md) v4.0.1. La norme PCI DSS v4.0.1 n'exige pas explicitement l'utilisation de symboles dans les mots de passe. |
| 30 juin 2025 | [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) | Security Hub CSPM a supprimé ce contrôle de la norme [NIST SP 800-171](standards-reference-nist-800-171.md) Revision 2. Le SP 800-171 révision 2 du NIST n'exige pas explicitement des délais d'expiration de 90 jours ou moins pour les mots de passe. |
| 30 juin 2025 | [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16) | Security Hub CSPM a modifié le titre de ce contrôle. Le nouveau titre reflète plus précisément le fait que le contrôle ne vérifie que les clusters de base de données Amazon Aurora. Auparavant, le titre de ce contrôle était : *RDS DB clusters should be configured to copy tags to snapshots*. |
| 30 juin 2025 | [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) | Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est configurée pour s'exécuter sur une plate-forme prise en charge, en fonction de l'identifiant de plate-forme spécifié pour l'instance de bloc-notes. Security Hub CSPM ne prend plus en charge `notebook-al2-v1` et en `notebook-al2-v2` tant que valeurs de paramètres pour ce contrôle. Les instances Notebook qui s'exécutent sur ces plateformes ont atteint la fin du support le 30 juin 2025. |
| 30 mai 2025 | [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) | Security Hub CSPM a supprimé ce contrôle de la [norme PCI DSS](pci-standard.md) v4.0.1. Ce contrôle vérifie si les politiques de mot de passe des comptes pour les utilisateurs IAM répondent aux exigences minimales, notamment une longueur de mot de passe minimale de 7 caractères. La norme PCI DSS v4.0.1 exige désormais que les mots de passe comportent au moins 8 caractères. Le contrôle continue de s'appliquer à la norme PCI DSS v3.2.1, qui impose des exigences de mot de passe différentes. [Pour évaluer les politiques de mot de passe du compte par rapport aux exigences de la norme PCI DSS v4.0.1, vous pouvez utiliser le contrôle IAM.7.](iam-controls.md#iam-7) Ce contrôle nécessite que les mots de passe comportent au moins 8 caractères. Il prend également en charge les valeurs personnalisées pour la longueur du mot de passe et d'autres paramètres. Le contrôle IAM.7 fait partie de la norme PCI DSS v4.0.1 du Security Hub CSPM. |
| 8 mai 2025 | [RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet | Security Hub CSPM a annulé la publication du contrôle RDS.46 dans son ensemble. Régions AWS Auparavant, ce contrôle était conforme à la norme AWS Foundational Security Best Practices (FSBP). |
| 7 avril 2025 | [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) | Ce contrôle vérifie si l'écouteur HTTPS d'un Application Load Balancer ou l'écouteur TLS d'un Network Load Balancer est configuré pour chiffrer les données en transit en utilisant une politique de sécurité recommandée. Security Hub CSPM prend désormais en charge deux valeurs de paramètres supplémentaires pour ce contrôle : `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` et. `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` |
| 27 mars 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge ce `ruby3.4` contrôle en tant que valeur de paramètre. AWS Lambda support ajouté pour ce runtime. |
| 26 mars 2025 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. Pour le `oldestVersionSupported` paramètre, Security Hub CSPM a modifié la valeur de à`1.29`. `1.30` La plus ancienne version supportée de Kubernetes est désormais disponible. `1.30` |
| 10 mars 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge `dotnet6` et en `python3.8` tant que valeurs de paramètres pour ce contrôle. AWS Lambda ne prend plus en charge ces environnements d'exécution. |
| 07 mars 2025 | [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) | Security Hub CSPM a supprimé ce contrôle de la norme AWS Foundational Security Best Practices et a automatisé les vérifications pour répondre aux exigences du NIST SP 800-53 Rev. 5. Depuis le retrait du réseau Amazon EC2-Classic, les instances Amazon Relational Database Service (Amazon RDS) ne peuvent plus être déployées en dehors d'un VPC. Le contrôle continue de faire partie de la norme de [AWS Control Tower gestion des services](service-managed-standard-aws-control-tower.md). |
| 10 janvier 2025 | [Glue.2] La journalisation des tâches AWS Glue doit être activée | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. |
| 20 décembre 2024 | EC2.61 à EC2.169 | Security Hub CSPM a annulé la sortie de l'EC2.61 via les contrôles EC2.169. |
| 12 décembre 2024 | [[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23) | RDS.23 vérifie si un cluster ou une instance Amazon Relational Database Service (Amazon RDS) utilise un port autre que le port par défaut du moteur de base de données. Nous avons mis à jour le contrôle afin que la AWS Config règle sous-jacente renvoie un résultat NOT\$1APPLICABLE pour les instances RDS faisant partie d'un cluster. |
| 2 décembre 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en nodejs22.x tant que paramètre. |
| 26 novembre 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est désormais disponible1.29. |
| 20 novembre 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Config.1 vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a augmenté la sévérité de ce contrôle de à`MEDIUM`. `CRITICAL` Security Hub CSPM a également ajouté de nouveaux [codes d'état et de nouvelles raisons d'état pour expliquer l'](controls-findings-create-update.md#control-findings-asff-compliance)échec des résultats de la configuration 1. Ces modifications reflètent l'importance de Config.1 pour le fonctionnement des contrôles CSPM du Security Hub. Si l'enregistrement des ressources est désactivé AWS Config ou si l'enregistrement des ressources est désactivé, vous pouvez recevoir des résultats de contrôle inexacts. Pour recevoir un `PASSED` résultat pour Config.1, activez l'enregistrement des ressources correspondant aux contrôles Security Hub CSPM activés et désactivez les contrôles qui ne sont pas nécessaires dans votre organisation. Pour obtenir des instructions sur la configuration AWS Config de Security Hub CSPM, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour obtenir la liste des contrôles Security Hub CSPM et des ressources correspondantes, consultez. [AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md) |
| 12 novembre 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.13 tant que paramètre. |
| 11 octobre 2024 | ElastiCache commandes | Les titres de contrôle ont été modifiés pour ElastiCache 3.3, ElastiCache .4, ElastiCache .5 et ElastiCache .7. Les titres ne mentionnent plus Redis OSS car les contrôles s'appliquent également ElastiCache à Valkey. |
| 27 septembre 2024 | [[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4) | Le titre de contrôle modifié depuis Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP vers Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides. |
| 19 août 2024 | Changements de titre apportés au DMS.12 et aux commandes ElastiCache | Titres de contrôle modifiés pour DMS.12 et ElastiCache 2.1 à ElastiCache 1.7. Nous avons modifié ces titres pour refléter le changement de nom du service Amazon ElastiCache (Redis OSS). |
| 15 août 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Config.1 vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a ajouté un paramètre de contrôle personnalisé nommé. includeConfigServiceLinkedRoleCheck En définissant ce paramètre surfalse, vous pouvez choisir de ne pas vérifier si le rôle lié au service est AWS Config utilisé. |
| 31 juillet 2024 | [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) | Le titre de contrôle modifié des profils de AWS IoT Core sécurité doit être étiqueté en tant que profil de AWS IoT Device Defender sécurité. |
| 29 juillet 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en nodejs16.x tant que paramètre. |
| 29 juillet 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La version prise en charge la plus ancienne est1.28. |
| 25 juin 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Ce contrôle vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a mis à jour le titre du contrôle pour refléter ce que le contrôle évalue. |
| 14 juin 2024 | [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) | Ce contrôle vérifie si un cluster de base de données Amazon Aurora MySQL est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Security Hub CSPM a mis à jour le contrôle afin qu'il ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1. |
| 11 juin 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La version prise en charge la plus ancienne est1.27. |
| 10 juin 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Cette commande vérifie si elle AWS Config est activée et si l'enregistrement AWS Config des ressources est activé. Auparavant, le contrôle produisait un PASSED résultat uniquement si vous configuriez l'enregistrement pour toutes les ressources. Security Hub CSPM a mis à jour le contrôle pour produire un PASSED résultat lorsque l'enregistrement est activé pour les ressources requises pour les contrôles activés. Le contrôle a également été mis à jour pour vérifier si le rôle AWS Config lié au service est utilisé, ce qui donne les autorisations nécessaires pour enregistrer les ressources nécessaires. |
| 8 mai 2024 | [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) | Ce contrôle vérifie si la suppression par authentification multifactorielle (MFA) est activée pour un compartiment Amazon S3 à usage général. Auparavant, le contrôle produisait un FAILED résultat pour les buckets dotés d'une configuration Lifecycle. Cependant, la suppression MFA avec gestion des versions ne peut pas être activée sur un bucket doté d'une configuration Lifecycle. Security Hub CSPM a mis à jour le contrôle afin de ne produire aucun résultat pour les buckets dotés d'une configuration Lifecycle. La description du contrôle a été mise à jour pour refléter le comportement actuel. |
| 2 mai 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.26. |
| 30 avril 2024 | [[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3) | Le titre du contrôle modifié CloudTrail passe de doit être activé à Au moins une CloudTrail piste doit être activée. Ce contrôle produit actuellement un PASSED résultat si au moins Compte AWS une CloudTrail piste est activée. Le titre et la description ont été modifiés afin de refléter précisément le comportement actuel. |
| 29 avril 2024 | [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1) | Titre de contrôle modifié : les groupes Auto Scaling associés à un Classic Load Balancer doivent utiliser des contrôles de santé de l'équilibreur de charge alors que les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles de santé ELB. Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle, de réseau et classiques. Le titre et la description ont été modifiés afin de refléter précisément le comportement actuel. |
| 19 avril 2024 | [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) | Le contrôle vérifie s'il AWS CloudTrail est activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture. Auparavant, le contrôle générait des PASSED résultats de manière incorrecte lorsqu'un compte avait CloudTrail activé et configuré au moins un suivi multirégional, même si aucun journal ne capturait les événements de gestion de lecture et d'écriture. Le contrôle génère désormais un PASSED résultat uniquement lorsqu'il CloudTrail est activé et configuré avec au moins un journal multirégional qui capture les événements de gestion de lecture et d'écriture. |
| 10 avril 2024 | [Athena.1] Les groupes de travail Athena doivent être chiffrés au repos | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Les groupes de travail Athena envoient des journaux vers des compartiments Amazon Simple Storage Service (Amazon S3). Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. |
| 10 avril 2024 | [AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1 | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Les limites des sauts de réponse aux métadonnées pour les instances Amazon Elastic Compute Cloud (Amazon EC2) dépendent de la charge de travail. |
| 10 avril 2024 | [CloudFormation.1] les CloudFormation piles doivent être intégrées au Simple Notification Service (SNS) | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'intégration de AWS CloudFormation stacks aux rubriques Amazon SNS n'est plus une bonne pratique en matière de sécurité. Bien qu'il puisse être utile d'intégrer des CloudFormation piles importantes à des rubriques SNS, elle n'est pas obligatoire pour toutes les piles. |
| 10 avril 2024 | [CodeBuild.5] le mode privilégié ne doit pas être activé dans les environnements de CodeBuild projet | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'activation du mode privilégié dans un CodeBuild projet n'impose aucun risque supplémentaire à l'environnement du client. |
| 10 avril 2024 | [IAM.20] Évitez d'utiliser l'utilisateur root | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Le but de ce contrôle est couvert par un autre contrôle,[[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1). |
| 10 avril 2024 | [SNS.2] L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'enregistrement de l'état de livraison pour les rubriques SNS n'est plus une bonne pratique en matière de sécurité. Bien qu'il puisse être utile de consigner le statut de livraison pour les sujets SNS importants, il n'est pas obligatoire pour tous les sujets. |
| 10 avril 2024 | [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower L'objectif de ce contrôle est couvert par deux autres contrôles : [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) et[[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14). Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 10 avril 2024 | [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower Bien que les notifications d'événements pour les compartiments S3 soient utiles dans certains cas, il ne s'agit pas d'une bonne pratique universelle en matière de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 10 avril 2024 | [[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS](sns-controls.md#sns-1) | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower Par défaut, SNS chiffre les sujets inactifs à l'aide du chiffrement du disque. Pour en savoir plus, consultez [Chiffrement des données](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). L'utilisation AWS KMS pour chiffrer des sujets n'est plus recommandée en tant que bonne pratique de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 8 avril 2024 | [[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau](elb-controls.md#elb-6) | Le titre de contrôle modifié de la protection contre la suppression d'Application Load Balancer doit être activé vers Application, Gateway et Network Load Balancers doit avoir la protection contre la suppression activée. Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle et de réseau. Le titre et la description ont été modifiés afin de refléter précisément le comportement actuel. |
| 22 mars 2024 | [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) | Le titre de contrôle modifié passe de Les connexions aux OpenSearch domaines doivent être chiffrées à l'aide du protocole TLS 1.2 à Les connexions aux OpenSearch domaines doivent être chiffrées à l'aide de la dernière politique de sécurité TLS. Auparavant, le contrôle vérifiait uniquement si les connexions aux OpenSearch domaines utilisaient le protocole TLS 1.2. Le contrôle permet désormais de déterminer si PASSED les OpenSearch domaines sont chiffrés à l'aide de la dernière politique de sécurité TLS. Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel. |
| 22 mars 2024 | [[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8) | Le titre de contrôle modifié de Connexions aux domaines Elasticsearch doit être crypté à l'aide du protocole TLS 1.2 à celui des connexions aux domaines Elasticsearch doit être crypté à l'aide de la dernière politique de sécurité TLS. Auparavant, le contrôle vérifiait uniquement si les connexions aux domaines Elasticsearch utilisaient le protocole TLS 1.2. Le contrôle permet désormais de déterminer si les domaines Elasticsearch sont chiffrés à l'aide de la dernière politique de sécurité TLS. PASSED Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel. |
| 12 mars 2024 | [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) | Le titre modifié du paramètre S3 Block Public Access doit être activé pour les compartiments S3 à usage général devrait avoir les paramètres de blocage de l'accès public activés. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2) | La modification du titre des compartiments S3 devrait interdire l'accès public en lecture. Les compartiments S3 à usage général devraient bloquer l'accès public en lecture. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3) | La modification du titre des compartiments S3 devrait interdire l'accès public en écriture. Les compartiments S3 à usage général devraient bloquer l'accès en écriture public. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) | Le titre modifié des compartiments S3 devrait nécessiter des demandes d'utilisation de Secure Socket Layer. Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation du protocole SSL. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6) | Le titre modifié par rapport aux autorisations S3 accordées Comptes AWS à d'autres politiques intégrées au compartiment doit être limité aux politiques de compartiment à usage général de S3 qui doivent restreindre l'accès aux autres Comptes AWS. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) | Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) | Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8) | Le titre modifié du paramètre S3 Block Public Access doit être activé au niveau du bucket à celui des buckets à usage général S3 doit bloquer l'accès public. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9) | Le titre modifié de la journalisation de l'accès au serveur du compartiment S3 doit être activé à la journalisation de l'accès au serveur doit être activée pour les compartiments à usage général S3. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) | Le titre modifié des compartiments S3 avec le versionnement activé doit avoir des politiques de cycle de vie configurées, tandis que les compartiments S3 à usage général avec le versionnement activé doivent avoir des configurations de cycle de vie. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) | Le titre modifié des compartiments S3 devrait avoir les notifications d'événements activées alors que les compartiments S3 à usage général devraient avoir les notifications d'événements activées. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) | Le titre modifié des listes de contrôle d'accès S3 (ACLs) ne doit pas être utilisé pour gérer l'accès des utilisateurs aux ACLs compartiments ni pour gérer l'accès des utilisateurs aux compartiments à usage général S3. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) | Le titre modifié des compartiments S3 doit avoir des politiques de cycle de vie configurées alors que les compartiments S3 à usage général doivent avoir des configurations de cycle de vie. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14) | Le titre modifié des compartiments S3 doit utiliser la gestion des versions alors que les compartiments S3 à usage général doivent avoir la fonction de version activée. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général](s3-controls.md#s3-15) | Le titre modifié des compartiments S3 doit être configuré pour utiliser le verrouillage des objets. Les compartiments S3 à usage général doivent avoir le verrouillage des objets activé. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17) | Le titre modifié des compartiments S3 doit être chiffré au repos par des compartiments S3 AWS KMS keysà usage général avec lesquels les compartiments S3 doivent être chiffrés au repos. AWS KMS keys Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 07 mars 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge nodejs20.x et en ruby3.3 tant que paramètres. |
| 22 février 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en dotnet8 tant que paramètre. |
| 5 février 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.25. |
| 10 janvier 2024 | [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) | Le titre modifié par rapport au référentiel source Bitbucket CodeBuild GitHub ou OAuth à utiliser pour le référentiel URLs source CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles. Security Hub CSPM a supprimé la mention OAuth car d'autres méthodes de connexion peuvent également être sécurisées. Security Hub CSPM a supprimé la mention GitHub car il n'est plus possible d'avoir un jeton d'accès personnel ou un nom d'utilisateur et un mot de passe dans le référentiel GitHub source. URLs |
| 8 janvier 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge go1.x et en java8 tant que paramètres car il s'agit d'environnements d'exécution retirés. |
| 29 décembre 2023 | [[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée](rds-controls.md#rds-8) | RDS.8 vérifie si la protection contre la suppression est activée sur une instance de base de données Amazon RDS qui utilise l'un des moteurs de base de données pris en charge. Security Hub CSPM prend désormais en charge custom-oracle-eeoracle-ee-cdb, et en oracle-se2-cdb tant que moteurs de base de données. |
| 22 décembre 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge java21 et en python3.12 tant que paramètres. Security Hub CSPM n'est plus pris en charge en ruby2.7 tant que paramètre. |
| 15 décembre 2023 | [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) | CloudFront.1 vérifie si un objet racine par défaut est configuré pour une CloudFront distribution Amazon. Security Hub CSPM a réduit le niveau de sévérité de ce contrôle de CRITIQUE à ÉLEVÉ, car l'ajout de l'objet racine par défaut est une recommandation qui dépend de l'application de l'utilisateur et des exigences spécifiques. |
| 5 décembre 2023 | [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) | Le titre du contrôle a été modifié : les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 vers les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22. |
| 5 décembre 2023 | [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) | Le titre du contrôle est passé de « Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers le port 3389 » à « Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 ». |
| 5 décembre 2023 | [[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9) | Le titre de contrôle modifié de la journalisation de la base de données doit être activé pour que les instances de base de données RDS publient les journaux dans les CloudWatch journaux. Security Hub CSPM a identifié que ce contrôle vérifie uniquement si les journaux sont publiés sur Amazon CloudWatch Logs et ne vérifie pas si les journaux RDS sont activés. Le contrôle permet de déterminer si PASSED les instances de base de données RDS sont configurées pour publier des journaux dans CloudWatch Logs. Le titre du contrôle a été mis à jour pour refléter le comportement actuel. |
| 5 décembre 2023 | [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) | Ce contrôle vérifie si la journalisation des audits est activée sur les clusters Amazon EKS. La AWS Config règle utilisée par Security Hub CSPM pour évaluer ce contrôle est passée de àeks-cluster-logging-enabled. eks-cluster-log-enabled |
| 17 novembre 2023 | [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19) | L'EC2.19 vérifie si le trafic entrant non restreint pour un groupe de sécurité est accessible aux ports spécifiés considérés comme présentant un risque élevé. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 novembre 2023 | [[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées](cloudwatch-controls.md#cloudwatch-15) | Le titre de contrôle modifié, passant d'CloudWatch une alarme à une action configurée pour l'état ALARM, doit être CloudWatch remplacée par une action spécifiée configurée pour les alarmes. |
| 16 novembre 2023 | [[CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée](cloudwatch-controls.md#cloudwatch-16) | Le titre de contrôle modifié des groupes de CloudWatch journaux doit être conservé pendant au moins un an alors que les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée. |
| 16 novembre 2023 | [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) | Titre de contrôle modifié, les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité et les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité. |
| 16 novembre 2023 | [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) | Le titre de contrôle modifié de AWS AppSync devrait avoir activé la journalisation au niveau de la demande et au niveau du champ pour activer la journalisation auAWS AppSync niveau du champ. |
| 16 novembre 2023 | [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) | Titre de contrôle modifié : les nœuds principaux du MapReduce cluster Amazon Elastic ne doivent pas avoir d'adresse IP publique alors que les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresse IP publique. |
| 16 novembre 2023 | [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) | Le titre de contrôle modifié, OpenSearch les domaines doivent se trouver dans un VPC et les OpenSearchdomaines ne doivent pas être accessibles au public. |
| 16 novembre 2023 | [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2) | Le titre de contrôle modifié, les domaines Elasticsearch doivent figurer dans un VPC et les domaines Elasticsearch ne doivent pas être accessibles au public. |
| 31 octobre 2023 | [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) | ES.4 vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à Amazon Logs. CloudWatch Le contrôle a précédemment produit une PASSED recherche pour un domaine Elasticsearch dont tous les journaux étaient configurés pour être envoyés à CloudWatch Logs. Security Hub CSPM a mis à jour le contrôle afin de générer une PASSED recherche uniquement pour un domaine Elasticsearch configuré pour envoyer des journaux d'erreurs à Logs. CloudWatch Le contrôle a également été mis à jour pour exclure de l'évaluation les versions d'Elasticsearch qui ne prennent pas en charge les journaux d'erreurs. |
| 16 octobre 2023 | [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) | L'EC2.13 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 22. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) | EC2.14 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 3389. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18) | L'EC2.18 vérifie si les groupes de sécurité utilisés autorisent le trafic entrant sans restriction. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.11 tant que paramètre. |
| 4 octobre 2023 | [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) | Security Hub CSPM a ajouté le paramètre ReplicationType avec la valeur de CROSS-REGION pour garantir que la réplication entre régions est activée dans les compartiments S3 plutôt que la réplication entre régions. |
| 27 septembre 2023 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.24. |
| 20 septembre 2023 | [CloudFront.2] l'identité d'accès à l'origine doit être activée pour les CloudFront distributions | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Reportez-vous plutôt à la section [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13). Le contrôle d'accès à l'origine est la meilleure pratique de sécurité actuelle. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 20 septembre 2023 | [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) | Security Hub CSPM a supprimé ce contrôle de AWS Foundational Security Best Practices (FSBP) et du National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Il fait toujours partie de Service-Managed Standard :. AWS Control Tower Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à des instances EC2 ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres contrôles EC2, tels que EC2.2, EC2.13, EC2.14, EC2.18 et EC2.19, pour surveiller vos groupes de sécurité. |
| 20 septembre 2023 | [EC2.29] Les instances EC2 doivent être lancées dans un VPC | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Amazon EC2 a migré des instances EC2-Classic vers un VPC. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 20 septembre 2023 | [S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3 | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. Les paramètres de chiffrement restent inchangés pour les compartiments existants chiffrés avec le chiffrement côté serveur SS3 -S3 ou SS3 -KMS. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 14 septembre 2023 | [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) | Titre de contrôle modifié : le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant et sortant est remplacé par le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant ou sortant. |
| 14 septembre 2023 | [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) | Le titre de contrôle modifié de Virtual MFA doit être activé pour l'utilisateur root à MFA doit être activé pour l'utilisateur root. |
| 14 septembre 2023 | [[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19) | Le titre du contrôle a été modifié, passant d'un abonnement aux notifications d'événements RDS pour les événements critiques du cluster à un abonnement aux notifications d'événements RDS existant doit être configuré pour les événements critiques du cluster. |
| 14 septembre 2023 | [[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20) | Le titre de contrôle a été modifié, passant d'un abonnement aux notifications d'événements RDS pour les événements critiques d'instance de base de données à un abonnement aux notifications d'événements RDS existant doit être configuré pour les événements critiques d'instance de base de données. |
| 14 septembre 2023 | [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) | Titre de contrôle modifié d'une règle régionale WAF doit comporter au moins une condition à une règle régionale AWS WAF classique doit comporter au moins une condition. |
| 14 septembre 2023 | [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) | Le titre de contrôle est passé d'un groupe de règles régional WAF doit comporter au moins une règle à un groupe de règles régional AWS WAF classique qui doit avoir au moins une règle. |
| 14 septembre 2023 | [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) | Le titre de contrôle a été modifié, passant d'un ACL Web régional WAF doit comporter au moins une règle ou un groupe de règles à un site Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) | Titre de contrôle modifié, passant d'une règle globale WAF doit comporter au moins une condition à Une règle globale AWS WAF classique doit comporter au moins une condition. |
| 14 septembre 2023 | [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) | Le titre du contrôle est passé d'un groupe de règles global WAF doit comporter au moins une règle à un groupe de règles global AWS WAF classique doit avoir au moins une règle. |
| 14 septembre 2023 | [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) | Le titre de contrôle a été modifié, passant d'une ACL Web globale WAF doit comporter au moins une règle ou un groupe de règles à un Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) | Titre de contrôle modifié de Une ACL WAFv2 Web doit comporter au moins une règle ou un groupe de règles à AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11) | Le titre de contrôle modifié de la journalisation de l'ACL Web AWS WAF v2 doit être activé à la journalisation de l'ACL AWS WAF Web doit être activée. |
| 20 juillet 2023 | [S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3 | S3.4 vérifie si le chiffrement côté serveur est activé sur un compartiment Amazon S3 ou si la politique du compartiment S3 refuse explicitement les PutObject demandes sans chiffrement côté serveur. Security Hub CSPM a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-S3, SSE-KMS ou DSSE-KMS. |
| 17 juillet 2023 | [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17) | S3.17 vérifie si un compartiment Amazon S3 est chiffré avec un. AWS KMS key Security Hub CSPM a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-KMS ou DSSE-KMS. |
| 9 juin 2023 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | EKS.2 vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est maintenant. 1.23 |
| 9 juin 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en ruby3.2 tant que paramètre. |
| 5 juin 2023 | [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5) | APIGateway.5. vérifie si toutes les méthodes des étapes de l'API REST d'Amazon API Gateway sont chiffrées au repos. Security Hub CSPM a mis à jour le contrôle pour évaluer le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode. |
| 18 mai 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en java17 tant que paramètre. |
| 18 mai 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en nodejs12.x tant que paramètre. |
| 23 avril 2023 | [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) | ECS.10 vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Les clients peuvent déployer Amazon ECS par le biais d'ECS directement ou en utilisant CodeDeploy. Security Hub CSPM a mis à jour ce contrôle pour produire des résultats réussis lorsque vous l'utilisez CodeDeploy pour déployer les services ECS Fargate. |
| 20 avril 2023 | [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6) | S3.6 vérifie si une politique de compartiment Amazon Simple Storage Service (Amazon S3) empêche les principaux tiers Comptes AWS d'effectuer des actions refusées sur les ressources du compartiment S3. Security Hub CSPM a mis à jour le contrôle pour tenir compte des conditions dans une politique de compartiment. |
| 18 avril 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.10 tant que paramètre. |
| 18 avril 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en dotnetcore3.1 tant que paramètre. |
| 17 avril 2023 | [[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS](rds-controls.md#rds-11) | RDS.11 vérifie si les instances Amazon RDS ont activé les sauvegardes automatisées, avec une période de conservation des sauvegardes supérieure ou égale à sept jours. Security Hub CSPM a mis à jour ce contrôle pour exclure les répliques en lecture de l'évaluation, car tous les moteurs ne prennent pas en charge les sauvegardes automatiques sur les répliques en lecture. En outre, RDS ne permet pas de spécifier une période de conservation des sauvegardes lors de la création de répliques en lecture. Les répliques en lecture sont créées avec une période de conservation des sauvegardes 0 par défaut. |
# Contrôles Security Hub CSPM pour Comptes AWS
Ces contrôles Security Hub CSPM évaluent. Comptes AWS
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.2, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un compte Amazon Web Services (AWS) possède des informations de contact de sécurité. Le contrôle échoue si les coordonnées de sécurité ne sont pas fournies pour le compte.
Les contacts de sécurité alternatifs permettent AWS de contacter une autre personne à propos de problèmes liés à votre compte au cas où vous ne seriez pas disponible. Les notifications peuvent provenir d' Supportéquipes ou d'autres Service AWS équipes concernant des sujets liés à la sécurité associés à votre Compte AWS utilisation.
### Correction
Pour ajouter un autre contact en tant que contact de sécurité à votre compte Compte AWS, voir [Mettre à jour les contacts alternatifs pour vous Compte AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) dans le *Guide de référence de gestion de AWS compte*.
## [Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un Compte AWS fait partie d'une organisation gérée via AWS Organizations. Le contrôle échoue si le compte ne fait pas partie d'une organisation.
Organizations vous aide à gérer votre environnement de manière centralisée à mesure que vous adaptez vos charges de travail. AWS Vous pouvez en utiliser plusieurs Comptes AWS pour isoler les charges de travail soumises à des exigences de sécurité spécifiques ou pour vous conformer à des frameworks tels que HIPAA ou PCI. En créant une organisation, vous pouvez administrer plusieurs comptes en tant qu'unité unique et gérer de manière centralisée leur accès Services AWS, leurs ressources et leurs régions.
### Correction
Pour créer une nouvelle organisation et y ajouter automatiquement des informations Comptes AWS , consultez la section [Création d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) dans le *Guide de AWS Organizations l'utilisateur*. Pour ajouter des comptes à une organisation existante, voir [Inviter un homme Compte AWS à rejoindre votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) dans le *Guide de AWS Organizations l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS Amplify
Ces contrôles CSPM du Security Hub évaluent le AWS Amplify service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Amplify.1] Les applications Amplify doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Amplify::App`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 4 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Amplify application possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si l'application ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'application n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une AWS Amplify application, consultez la section [Assistance au balisage des ressources](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) dans le *guide de l'utilisateur de l'AWS Amplify hébergement*.
## [Amplify .2] Les branches Amplify doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Amplify::Branch`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 4 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Amplify branche possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la branche ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la branche ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une AWS Amplify branche, consultez la section [Support du balisage des ressources](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) dans le *Guide de l'utilisateur de l'AWS Amplify hébergement*.
# Contrôles CSPM de Security Hub pour Amazon API Gateway
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon API Gateway. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :**`AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `loggingLevel` | Logging level (Niveau de journalisation) | Enum | `ERROR`, `INFO` | `No default value` |
Ce contrôle vérifie si la journalisation est activée à toutes les étapes d'un REST ou WebSocket d'une API Amazon API Gateway. Le contrôle échoue si `loggingLevel` ce n'est pas le cas `ERROR` ou `INFO` pour toutes les étapes de l'API. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub CSPM produit un résultat positif si le niveau de journalisation est l'un ou `ERROR` l'autre. `INFO`
Les logs pertinents doivent être activés dans les stages WebSocket REST ou API Gateway. Le protocole REST d' WebSocket API Gateway et la journalisation de l'exécution des API fournissent des enregistrements détaillés des demandes adressées aux étapes WebSocket REST et API Gateway. Les étapes incluent les réponses du backend d'intégration des API, les réponses de l'autorisateur Lambda et `requestId` les points de terminaison d'intégration. AWS
### Correction
Pour activer la journalisation pour les opérations WebSocket REST et API, consultez la section [Configurer la journalisation des CloudWatch API à l'aide de la console API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) dans le *guide du développeur d'API Gateway*.
## [APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.15
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGateway::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si des certificats SSL sont configurés sur les stages de l'API REST Amazon API Gateway. Les systèmes principaux utilisent ces certificats pour vérifier que les demandes entrantes proviennent d'API Gateway.
Les étapes de l'API REST d'API Gateway doivent être configurées avec des certificats SSL pour permettre aux systèmes principaux d'authentifier que les demandes proviennent d'API Gateway.
### Correction
Pour obtenir des instructions détaillées sur la façon de générer et de configurer les certificats SSL de l'API REST d'API Gateway, consultez la section [Générer et configurer un certificat SSL pour l'authentification du backend](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) dans le *guide du développeur d'API Gateway*.
## [APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway
**Exigences connexes :** NIST.800-53.r5 CA-7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::ApiGateway::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le suivi AWS X-Ray actif est activé pour vos étapes d'API REST Amazon API Gateway.
Le traçage actif X-Ray permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Les modifications des performances peuvent entraîner un manque de disponibilité de l'API. Le suivi actif de X-Ray fournit des mesures en temps réel des demandes des utilisateurs qui transitent par le biais des opérations de l'API REST API Gateway et des services connectés.
### Correction
Pour obtenir des instructions détaillées sur la façon d'activer le suivi actif X-Ray pour les opérations de l'API REST d'[API Gateway, consultez le support du suivi actif d'Amazon API Gateway AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) dans le *manuel du AWS X-Ray développeur*.
## [APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF
**Exigences connexes :** NIST.800-53.r5 AC-4 (21)
**Catégorie :** Protéger > Services de protection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGateway::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un stage d'API Gateway utilise une liste de contrôle d'accès AWS WAF Web (ACL). Ce contrôle échoue si aucune ACL AWS WAF Web n'est attachée à un stage REST API Gateway.
AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Il vous permet de configurer une ACL, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage API Gateway est associé à une ACL AWS WAF Web afin de le protéger contre les attaques malveillantes.
### Correction
Pour plus d'informations sur l'utilisation de la console API Gateway pour associer une ACL Web AWS WAF régionale à un stage d'API API Gateway existant, consultez la section [Utiliser AWS WAF pour vous protéger APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) dans le *guide du développeur d'API Gateway*.
## [APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger - Protection des données - Chiffrement des données au repos
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGateway::Stage`
**AWS Config règle :** `api-gw-cache-encrypted` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si toutes les méthodes des stages d'API REST d'API Gateway dont le cache est activé sont cryptées. Le contrôle échoue si l'une des méthodes d'un stage d'API REST d'API Gateway est configurée pour le cache et que le cache n'est pas crypté. Security Hub CSPM évalue le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Il ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.
Les caches d'API REST d'API Gateway doivent être chiffrés au repos pour renforcer la sécurité.
### Correction
Pour configurer la mise en cache d'API pour une étape, consultez la section [Activer la mise en cache d'Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) dans le guide du *développeur d'API Gateway*. Dans **Paramètres du cache**, choisissez **Chiffrer les données du cache**.
## [APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
**Exigences connexes :** NIST.800-53.r5 AC-3, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Protection > Gestion des accès sécurisés
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGatewayV2::Route`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `authorizationType` | Type d'autorisation des routes d'API | Enum | `AWS_IAM`, `CUSTOM`, `JWT` | Aucune valeur par défaut |
Ce contrôle vérifie si les routes Amazon API Gateway possèdent un type d'autorisation. Le contrôle échoue si la route API Gateway ne possède aucun type d'autorisation. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée si vous souhaitez que le contrôle soit transmis uniquement si l'itinéraire utilise le type d'autorisation spécifié dans le `authorizationType` paramètre.
API Gateway prend en charge plusieurs mécanismes pour contrôler et gérer l’accès à votre API. En spécifiant un type d'autorisation, vous pouvez restreindre l'accès à votre API aux seuls utilisateurs ou processus autorisés.
### Correction
Pour définir un type d'autorisation pour HTTP APIs, consultez la section [Contrôle et gestion de l'accès à une API HTTP dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) dans le *guide du développeur d'API Gateway*. Pour définir un type d'autorisation pour WebSocket APIs, consultez la section [Contrôle et gestion de l'accès à une WebSocket API dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) dans le *Guide du développeur d'API Gateway*.
## [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGatewayV2::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des accès est configurée pour les stages Amazon API Gateway V2. Ce contrôle échoue si les paramètres du journal d'accès ne sont pas définis.
Les journaux d'accès à API Gateway fournissent des informations détaillées sur les personnes qui ont accédé à votre API et sur la manière dont l'appelant a accédé à l'API. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Activez ces journaux d'accès pour analyser les modèles de trafic et résoudre les problèmes.
Pour connaître les meilleures pratiques supplémentaires, consultez la section [Monitoring REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) dans le *guide du développeur d'API Gateway*.
### Correction
Pour configurer la journalisation des accès, consultez la section [Configurer la journalisation des CloudWatch API à l'aide de la console API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) dans le *guide du développeur d'API Gateway*.
## [APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGatewayV2::Integration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le protocole HTTPS est activé pour les connexions privées lors d'une intégration API Gateway V2. Le contrôle échoue si le protocole TLS n'est pas configuré pour une connexion privée.
Les liens VPC connectent API Gateway à des ressources privées. Bien que les liens VPC créent une connectivité privée, ils ne chiffrent pas intrinsèquement les données. La configuration du protocole TLS garantit l'utilisation du protocole HTTPS pour end-to-end le chiffrement depuis le client jusqu'au backend via API Gateway. Sans TLS, le trafic API sensible circule de manière non chiffrée sur les connexions privées. Le chiffrement HTTPS protège le trafic via les connexions privées contre l'interception des données, man-in-the-middle les attaques et l'exposition aux informations d'identification.
### Correction
Pour activer le chiffrement en transit pour les connexions privées dans le cadre d'une intégration API Gateway v2, consultez la section [Mettre à jour une intégration privée](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) dans le manuel *Amazon API Gateway Developer Guide*. Configurez [la configuration TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) afin que l'intégration privée utilise le protocole HTTPS.
# Contrôles Security Hub CSPM pour AWS AppConfig
Ces contrôles CSPM du Security Hub évaluent le AWS AppConfig service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppConfig.1] AWS AppConfig les applications doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::Application`
**Règle AWS Config :** `appconfig-application-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS AppConfig application possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'application ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'application n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une AWS AppConfig application, reportez-vous [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)à la *référence des AWS AppConfig API*.
## [AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::ConfigurationProfile`
**Règle AWS Config :** `appconfig-configuration-profile-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un profil AWS AppConfig de configuration comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le profil de configuration ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil de configuration n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un profil de AWS AppConfig configuration, consultez [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)la *référence de l'AWS AppConfig API*.
## [AppConfig.3] AWS AppConfig les environnements doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::Environment`
**Règle AWS Config :** `appconfig-environment-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS AppConfig environnement possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'environnement ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'environnement n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un AWS AppConfig environnement, reportez-vous [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)à la *référence des AWS AppConfig API*.
## [AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::ExtensionAssociation`
**Règle AWS Config :** `appconfig-extension-association-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une association d' AWS AppConfig extensions possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'association d'extensions ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'association d'extension n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une association d' AWS AppConfig extensions, consultez [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)la *référence de l'AWS AppConfig API*.
# Contrôles Security Hub CSPM pour Amazon AppFlow
Ces contrôles CSPM du Security Hub évaluent le AppFlow service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppFlow.1] Les AppFlow flux Amazon doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppFlow::Flow`
**Règle AWS Config :** `appflow-flow-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AppFlow flux Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le flux ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un AppFlow flux Amazon, consultez la section [Création de flux dans Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) dans le *guide de AppFlow l'utilisateur Amazon*.
# Contrôles Security Hub CSPM pour AWS App Runner
Ces AWS Security Hub CSPM contrôles évaluent le AWS App Runner service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppRunner.1] Les services App Runner doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppRunner::Service`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS App Runner service possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le service App Runner ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service App Runner n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS App Runner service, consultez [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)la *référence des AWS App Runner API*.
## [AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppRunner::VpcConnector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un connecteur AWS App Runner VPC possède des balises avec les clés spécifiques définies dans le paramètre. `requiredKeyTags` Le contrôle échoue si le connecteur VPC ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre. `requiredKeyTags` Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le connecteur VPC n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour plus d'informations sur l'ajout de balises à un connecteur AWS App Runner VPC, consultez la [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)référence des *AWS App Runner API*.
# Security Hub CSPM contrôle pour AWS AppSync
Ces contrôles CSPM du Security Hub évaluent le AWS AppSync service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos
**Important**
Security Hub CSPM a retiré ce contrôle le 9 mars 2026. Pour plus d'informations, consultez[Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs.
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le cache d'une AWS AppSync API est chiffré au repos. Le contrôle échoue si le cache de l'API n'est pas chiffré au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Vous ne pouvez pas modifier les paramètres de chiffrement après avoir activé la mise en cache pour votre AWS AppSync API. Vous devez plutôt supprimer le cache et le recréer avec le chiffrement activé. Pour plus d'informations, consultez la section [Chiffrement du cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) dans le *Guide du AWS AppSync développeur*.
## [AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `fieldLoggingLevel` | Niveau d'enregistrement des champs | Enum | `ERROR`, `ALL`, `INFO`, `DEBUG` | `No default value` |
Ce contrôle vérifie si la journalisation au niveau du champ est activée pour une AWS AppSync API. Le contrôle échoue si le niveau de journalisation du résolveur de champs est défini sur **Aucun**. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub CSPM produit un résultat positif si le niveau de journal du résolveur de champs est l'un ou l'autre. `ERROR` `ALL`
Vous pouvez utiliser la journalisation et les métriques pour identifier, dépanner et optimiser vos requêtes GraphQL. L'activation de la journalisation pour AWS AppSync GraphQL vous permet d'obtenir des informations détaillées sur les demandes et réponses des API, d'identifier les problèmes et d'y répondre, et de vous conformer aux exigences réglementaires.
### Correction
Pour activer la journalisation AWS AppSync, reportez-vous à la section [Configuration et configuration](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) du *Guide du AWS AppSync développeur*.
## [AppSync.4] AWS AppSync GraphQL APIs doit être balisé
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**AWS Config règle :** `tagged-appsync-graphqlapi` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une API AWS AppSync GraphQL possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'API GraphQL ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre. `requiredTagKeys` Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'API GraphQL n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une API AWS AppSync GraphQL, consultez la [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)référence des *AWS AppSync API*.
## [AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Élevée
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (non personnalisable)
Ce contrôle vérifie si votre application utilise une clé d'API pour interagir avec une API AWS AppSync GraphQL. Le contrôle échoue si une API AWS AppSync GraphQL est authentifiée à l'aide d'une clé d'API.
Une clé d'API est une valeur codée en dur dans votre application qui est générée par le AWS AppSync service lorsque vous créez un point de terminaison GraphQL non authentifié. Si cette clé d'API est compromise, votre terminal est vulnérable à un accès involontaire. À moins que vous ne souteniez une application ou un site Web accessible au public, nous vous déconseillons d'utiliser une clé d'API pour l'authentification.
### Correction
Pour définir une option d'autorisation pour votre API AWS AppSync GraphQL, consultez la section [Autorisation et authentification](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) dans le Guide du *AWS AppSync développeur*.
## [AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport
**Important**
Security Hub CSPM a retiré ce contrôle le 9 mars 2026. Pour plus d'informations, consultez[Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs.
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::AppSync::ApiCache`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le cache d'une AWS AppSync API est chiffré en transit. Le contrôle échoue si le cache de l'API n'est pas chiffré pendant le transfert.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Vous ne pouvez pas modifier les paramètres de chiffrement après avoir activé la mise en cache pour votre AWS AppSync API. Vous devez plutôt supprimer le cache et le recréer avec le chiffrement activé. Pour plus d'informations, consultez la section [Chiffrement du cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) dans le *Guide du AWS AppSync développeur*.
# Contrôles CSPM du Security Hub pour Amazon Athena
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Athena. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Athena.1] Les groupes de travail Athena doivent être chiffrés au repos
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Catégorie :** Protéger - Protection des données - Chiffrement des données au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Gravité :** Moyenne
**Type de ressource :** `AWS::Athena::WorkGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de travail Athena est chiffré au repos. Le contrôle échoue si un groupe de travail Athena n'est pas chiffré au repos.
Dans Athena, vous pouvez créer des groupes de travail pour exécuter des requêtes pour des équipes, des applications ou différentes charges de travail. Chaque groupe de travail dispose d'un paramètre permettant d'activer le chiffrement de toutes les requêtes. Vous avez la possibilité d'utiliser le chiffrement côté serveur avec les clés gérées par Amazon Simple Storage Service (Amazon S3), le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) ou le chiffrement côté client avec des clés KMS gérées par le client. Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
*Pour activer le chiffrement au repos pour les groupes de travail Athena, consultez [Modifier un groupe de travail dans le guide de](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) l'utilisateur d'Amazon Athena.* Dans la section **Configuration des résultats de requête**, sélectionnez **Chiffrer les résultats de la requête**.
## [Athena.2] Les catalogues de données Athena doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Athena::DataCatalog`
**AWS Config règle :** `tagged-athena-datacatalog` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un catalogue de données Amazon Athena comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le catalogue de données ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le catalogue de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un catalogue de données Athena, consultez la section [Marquage des ressources Athena dans le guide de l'utilisateur d'Amazon *Athena*](https://docs.aws.amazon.com/athena/latest/ug/tags.html).
## [Athena.3] Les groupes de travail Athena doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Athena::WorkGroup`
**AWS Config règle :** `tagged-athena-workgroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un groupe de travail Amazon Athena possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de travail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un groupe de travail Athena, consultez la section [Ajouter et supprimer des balises sur un groupe de travail individuel dans le guide de l'utilisateur](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) d'Amazon Athena.*
## [Athena.4] La journalisation des groupes de travail Athena doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Athena::WorkGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée dans un groupe de travail Amazon Athena. Le contrôle échoue si la journalisation n'est pas activée dans le groupe de travail.
Les journaux d'audit suivent et surveillent les activités du système. Ils fournissent un enregistrement des événements qui peut vous aider à détecter les failles de sécurité, à enquêter sur les incidents et à vous conformer aux réglementations. Les journaux d'audit améliorent également la responsabilité globale et la transparence de votre organisation.
### Correction
*Pour plus d'informations sur l'activation de la journalisation pour un groupe de travail Athena, consultez la section [Activer les métriques de CloudWatch requête dans Athena dans le guide de l'utilisateur](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) d'Amazon Athena.*
# Contrôles Security Hub CSPM pour AWS Backup
Ces contrôles CSPM du Security Hub évaluent le AWS Backup service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Backup::RecoveryPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un point AWS Backup de restauration est chiffré au repos. Le contrôle échoue si le point de restauration n'est pas chiffré au repos.
Un point de AWS Backup restauration fait référence à une copie ou à un instantané spécifique des données créé dans le cadre d'un processus de sauvegarde. Il représente un moment précis où les données ont été sauvegardées et sert de point de restauration au cas où les données d'origine seraient perdues, corrompues ou inaccessibles. Le chiffrement des points de restauration des sauvegardes ajoute une couche de protection supplémentaire contre les accès non autorisés. Le chiffrement est une bonne pratique pour protéger la confidentialité, l'intégrité et la sécurité des données de sauvegarde.
### Correction
Pour chiffrer un point de AWS Backup restauration, consultez la section [Chiffrement des sauvegardes AWS Backup dans](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) le *Guide du AWS Backup développeur*.
## [Backup.2] les points de AWS Backup restauration doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::RecoveryPoint`
**AWS Config règle :** `tagged-backup-recoverypoint` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un point AWS Backup de récupération possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point de récupération ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point de récupération n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un point AWS Backup de récupération**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Dans le panneau de navigation, choisissez **Backup plans (Plans de sauvegarde)**.
1. Sélectionnez un plan de sauvegarde dans la liste.
1. Dans la section **Balises du plan de sauvegarde**, sélectionnez **Gérer les balises**.
1. Entrez la clé et la valeur de la balise. Choisissez **Ajouter une nouvelle balise** pour des paires clé-valeur supplémentaires.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## Les AWS Backup coffres-forts [Backup.3] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::BackupVault`
**AWS Config règle :** `tagged-backup-backupvault` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Backup coffre possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point de récupération ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point de récupération n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un AWS Backup coffre-fort**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Entrez la clé et la valeur de la balise. Choisissez **Ajouter une nouvelle balise** pour des paires clé-valeur supplémentaires.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [Backup.4] Les plans de AWS Backup rapport doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::ReportPlan`
**AWS Config règle :** `tagged-backup-reportplan` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un plan de AWS Backup rapport comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le plan de rapport ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le plan de rapport n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un plan de AWS Backup rapport**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [Backup.5] les plans de AWS Backup sauvegarde doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::BackupPlan`
**AWS Config règle :** `tagged-backup-backupplan` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un plan AWS Backup de sauvegarde comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le plan de sauvegarde ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le plan de sauvegarde n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un plan AWS Backup de sauvegarde**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
# Contrôles Security Hub CSPM pour AWS Batch
Ces contrôles CSPM du Security Hub évaluent le AWS Batch service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::JobQueue`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une file d'attente de AWS Batch tâches comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la file d'attente de tâches ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la file d'attente de tâches n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une file d'attente de tâches Batch, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
## [Batch.2] Les politiques de planification par lots doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::SchedulingPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une politique de AWS Batch planification comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la politique de planification ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique de planification n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une politique de planification par lots, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
## [Batch.3] Les environnements de calcul par lots doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::ComputeEnvironment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un environnement AWS Batch informatique possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'environnement de calcul ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'environnement de calcul n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un environnement de calcul Batch, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
## [Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::ComputeEnvironment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 2 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si la propriété des ressources de calcul dans un environnement AWS Batch informatique géré possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la propriété des ressources de calcul ne possède aucune clé de balise ou si toutes les clés spécifiées par le `requiredKeyTags` paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si une propriété de ressources de calcul ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe. Ce contrôle n'évalue pas les environnements informatiques non gérés ni les environnements gérés qui utilisent des AWS Fargate ressources.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises aux ressources de calcul dans un environnement AWS Batch informatique géré, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS Certificate Manager
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS Certificate Manager (ACM). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée
**Exigences connexes :** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ACM::Certificate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `daysToExpiration` | Nombre de jours pendant lesquels le certificat ACM doit être renouvelé | Entier | `14` sur `365` | `30` |
Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) est renouvelé dans le délai spécifié. Il vérifie à la fois les certificats importés et les certificats fournis par ACM. Le contrôle échoue si le certificat n'est pas renouvelé dans le délai spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de renouvellement, Security Hub CSPM utilise une valeur par défaut de 30 jours.
ACM peut renouveler automatiquement les certificats qui utilisent la validation DNS. Pour les certificats qui utilisent la validation par e-mail, vous devez répondre à un e-mail de validation de domaine. ACM ne renouvelle pas automatiquement les certificats que vous importez. Vous devez renouveler manuellement les certificats importés.
### Correction
ACM assure le renouvellement géré de vos SSL/TLS certificats émis par Amazon. Cela signifie qu'ACM renouvelle automatiquement vos certificats (si vous utilisez la validation DNS) ou qu'elle vous envoie des notifications par e-mail lorsque l'expiration des certificats approche. Ces services s'appliquent aux certificats ACM publics et privés.
**Pour les domaines validés par e-mail**
Lorsqu'un certificat arrive à expiration dans un délai de 45 jours, ACM envoie au propriétaire du domaine un e-mail pour chaque nom de domaine. Pour valider les domaines et terminer le renouvellement, vous devez répondre aux notifications par e-mail.
Pour plus d'informations, consultez la section [Renouvellement pour les domaines validés par e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) dans le *guide de AWS Certificate Manager l'utilisateur*.
**Pour les domaines validés par DNS**
ACM renouvelle automatiquement les certificats qui utilisent la validation DNS. 60 jours avant l'expiration, ACM vérifie que le certificat peut être renouvelé.
S'il ne parvient pas à valider un nom de domaine, ACM envoie une notification indiquant qu'une validation manuelle est requise. Il envoie ces notifications 45 jours, 30 jours, 7 jours et 1 jour avant l'expiration.
Pour plus d'informations, consultez la section [Renouvellement pour les domaines validés par DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) dans le *Guide de AWS Certificate Manager l'utilisateur*.
## [ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
**Exigences associées :** PCI DSS v4.0.1/4.2.1
**Catégorie :** Identifier > Inventaire > Services d'inventaire
**Gravité :** Élevée
**Type de ressource :** `AWS::ACM::Certificate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les certificats RSA gérés par AWS Certificate Manager utilisent une longueur de clé d'au moins 2 048 bits. Le contrôle échoue si la longueur de la clé est inférieure à 2 048 bits.
La puissance du chiffrement est directement liée à la taille de la clé. Nous recommandons des longueurs de clé d'au moins 2 048 bits pour protéger vos AWS ressources à mesure que la puissance de calcul diminue et que les serveurs deviennent plus avancés.
### Correction
La longueur de clé minimale pour les certificats RSA émis par ACM est déjà de 2 048 bits. Pour obtenir des instructions sur l'émission de nouveaux certificats RSA avec ACM, consultez la section [Émission et gestion des certificats](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) dans le guide de l'*AWS Certificate Manager utilisateur*.
ACM vous permet d'importer des certificats dont la longueur de clé est plus courte, mais vous devez utiliser des clés d'au moins 2 048 bits pour passer ce contrôle. Vous ne pouvez pas modifier la longueur de la clé après avoir importé un certificat. Vous devez plutôt supprimer les certificats dont la longueur de clé est inférieure à 2 048 bits. Pour plus d'informations sur l'importation de certificats dans ACM, consultez la section [Conditions préalables à l'importation de certificats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) dans le Guide de l'*AWS Certificate Manager utilisateur*.
## [ACM.3] Les certificats ACM doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ACM::Certificate`
**AWS Config règle :** `tagged-acm-certificate` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un certificat ACM, consultez la section [Marquage des AWS Certificate Manager certificats](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) dans le guide de l'*AWS Certificate Manager utilisateur*.
# Security Hub CSPM contrôle pour CloudFormation
Ces contrôles CSPM du Security Hub évaluent le AWS CloudFormation service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFormation.1] les CloudFormation piles doivent être intégrées au Simple Notification Service (SNS)
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFormation::Stack`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une notification Amazon Simple Notification Service est intégrée à une CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucune notification SNS n'y est associée.
La configuration d'une notification SNS avec votre CloudFormation stack permet d'informer immédiatement les parties prenantes de tout événement ou changement survenant dans le stack.
### Correction
Pour intégrer une CloudFormation pile et une rubrique SNS, consultez la section [Mettre à jour les piles directement](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) dans le guide de l'*AWS CloudFormation utilisateur*.
## [CloudFormation.2] les CloudFormation piles doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFormation::Stack`
**AWS Config règle :** `tagged-cloudformation-stack` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS CloudFormation pile possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la pile ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pile n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une CloudFormation pile, consultez [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)la *référence de l'AWS CloudFormation API*.
## [CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFormation::Stack`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection de terminaison est activée sur une AWS CloudFormation pile. Le contrôle échoue si la protection de terminaison n'est pas activée sur une CloudFormation pile.
CloudFormation permet de gérer les ressources connexes en tant qu'unité unique appelée Stack. Vous pouvez empêcher la suppression accidentelle d’une pile en activant la protection contre la résiliation sur la pile. Si un utilisateur tente de supprimer une pile pour laquelle la protection contre la résiliation est activée, la suppression échoue et la pile, et son statut, restent inchangés. Vous pouvez définir la protection contre la résiliation sur une pile ayant n’importe quel status sauf `DELETE_IN_PROGRESS` ou `DELETE_COMPLETE`.
**Note**
L’activation ou la désactivation de la protection pour résilier sur une pile transmet le même choix à toutes les piles imbriquées appartenant à cette pile. Vous ne pouvez pas activer ou désactiver la protection contre la résiliation directement sur une pile imbriquée. Vous ne pouvez pas supprimer directement une pile imbriquée appartenant à une pile pour laquelle la protection de terminaison est activée. Si NESTED s’affiche en regard du nom de la pile, cela signifie que la pile est imbriquée. Dans ce cas, vous pouvez seulement modifier la protection contre la résiliation sur la pile racine à laquelle appartient la pile imbriquée.
### Correction
Pour activer la protection contre le licenciement sur une CloudFormation pile, voir [Protéger les CloudFormation piles contre la suppression](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) dans le *Guide de l'AWS CloudFormation utilisateur*.
## [CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
**Catégorie :** Détecter > Gestion des accès sécurisés
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFormation::Stack`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un rôle de service est associé à une AWS CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucun rôle de service n'y est associé.
Rôles d'exécution des StackSets utilisations gérés par le service grâce à l'intégration des accès sécurisés AWS des Organizations. Le contrôle génère également un résultat d'échec pour une AWS CloudFormation pile créée par un service géré StackSets car aucun rôle de service n'y est associé. En raison de la méthode d' StackSets authentification gérée par les services, le `roleARN` champ ne peut pas être renseigné pour ces piles.
L'utilisation de rôles de service avec des CloudFormation piles permet de mettre en œuvre l'accès avec le moindre privilège en séparant les autorisations entre l'utilisateur qui creates/updates cumule les autorisations et les autorisations requises par CloudFormation les create/update ressources. Cela réduit le risque d'augmentation des privilèges et contribue à maintenir les limites de sécurité entre les différents rôles opérationnels.
**Note**
Un rôle de service attaché à une pile ne peut pas être supprimé après la création de la pile. Les autres utilisateurs disposant des autorisations nécessaires pour effectuer des opérations sur cette pile peuvent utiliser ce rôle, qu’ils disposent ou non de l’autorisation `iam:PassRole`. Si le rôle comprend des autorisations que l'utilisateur ne devrait pas avoir, vous avez peut-être remonté accidentellement ses autorisations. Vérifiez que le rôle accorde le privilège le plus faible.
### Correction
Pour associer un rôle de service à une CloudFormation pile, voir [rôle CloudFormation de service](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) dans le *Guide de AWS CloudFormation l'utilisateur*.
# Contrôles Security Hub CSPM pour Amazon CloudFront
Ces AWS Security Hub CSPM contrôles évaluent le CloudFront service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
**Exigences associées :** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon d'origine S3 est configurée pour renvoyer un objet spécifique qui est l'objet racine par défaut. Le contrôle échoue si la CloudFront distribution utilise les origines S3 et qu'aucun objet racine par défaut n'est configuré. Ce contrôle ne s'applique pas aux CloudFront distributions qui utilisent des origines personnalisées.
Un utilisateur peut parfois demander l'URL racine de la distribution au lieu d'un objet de la distribution. Dans ce cas, la spécification d'un objet racine par défaut peut vous aider à éviter d'exposer le contenu de votre distribution web.
### Correction
Pour configurer un objet racine par défaut pour une CloudFront distribution, consultez [Comment spécifier un objet racine par défaut](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon exige que les utilisateurs utilisent directement le protocole HTTPS ou si elle utilise la redirection. Le contrôle échoue s'il `ViewerProtocolPolicy` est défini sur « `allow-all` pour » `defaultCacheBehavior` ou « pour `cacheBehaviors` ».
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.
### Correction
Pour chiffrer une CloudFront distribution en transit, consultez la section [Exiger le protocole HTTPS pour la communication entre les utilisateurs et CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée avec un groupe d'origine comportant au moins deux origines.
CloudFront le basculement d'origine peut augmenter la disponibilité. Le basculement d'origine redirige automatiquement le trafic vers une origine secondaire si l'origine principale n'est pas disponible ou s'il renvoie des codes d'état de réponse HTTP spécifiques.
### Correction
Pour configurer le basculement d'origine pour une CloudFront distribution, consultez la section [Création d'un groupe d'origine](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.5] la journalisation des CloudFront distributions doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des accès au serveur est activée sur les CloudFront distributions. Le contrôle échoue si la journalisation des accès n'est pas activée pour une distribution. Ce contrôle évalue uniquement si la journalisation standard (ancienne) est activée pour une distribution.
CloudFront les journaux d'accès fournissent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Chaque journal contient des informations telles que la date et l'heure de réception de la demande, l'adresse IP de l'utilisateur qui a fait la demande, la source de la demande et le numéro de port de la demande formulée par l'utilisateur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Pour plus d'informations sur l'analyse des journaux d'accès, consultez la section [Query Amazon CloudFront Logs](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) dans le guide de l'*utilisateur d'Amazon Athena*.
### Correction
Pour configurer la journalisation standard (ancienne) pour une CloudFront distribution, consultez [Configurer la journalisation standard (ancienne)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.6] WAF doit être activé sur les CloudFront distributions
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
**Catégorie :** Protéger > Services de protection
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions sont associées à AWS WAF Classic ou au AWS WAF Web ACLs. Le contrôle échoue si la distribution n'est pas associée à une ACL Web.
AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Il vous permet de configurer un ensemble de règles appelé liste de contrôle d'accès web (ACL web) qui autorisent, bloquent ou comptent les requêtes web en fonction des règles et conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre CloudFront distribution est associée à une ACL AWS WAF Web afin de la protéger contre les attaques malveillantes.
### Correction
Pour associer une ACL AWS WAF Web à une CloudFront distribution, consultez la section [Utiliser AWS WAF pour contrôler l'accès à votre contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.15
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions utilisent le SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificat par défaut.
SSL/TLS Permettez à vos utilisateurs d'accéder au contenu de manière personnalisée en utilisant des noms de domaine alternatifs. Vous pouvez stocker des certificats personnalisés dans AWS Certificate Manager (recommandé) ou dans IAM.
### Correction
Pour ajouter un autre nom de domaine pour une CloudFront distribution à l'aide d'un certificat SSL/TLS personnalisé, consultez la section [Ajouter un autre nom de domaine](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) dans le manuel *Amazon CloudFront * Developer Guide.
## [CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon utilisent un SSL/TLS certificat personnalisé et sont configurées pour utiliser le SNI pour traiter les requêtes HTTPS. Ce contrôle échoue si un SSL/TLS certificat personnalisé est associé mais que la méthode de SSL/TLS support est une adresse IP dédiée.
Server Name Indication (SNI) est une extension du protocole TLS prise en charge par les navigateurs et les clients lancés après 2010. Si vous configurez CloudFront pour répondre aux demandes HTTPS à l'aide du SNI, CloudFront associez votre nom de domaine alternatif à une adresse IP pour chaque emplacement périphérique. Lorsqu’un utilisateur envoie une demande HTTPS pour votre contenu, DNS achemine la demande vers l’adresse IP de l’emplacement périphérique correct. L'adresse IP de votre nom de domaine est déterminée lors de la négociation de la SSL/TLS poignée de main ; l'adresse IP n'est pas dédiée à votre distribution.
### Correction
Pour configurer une CloudFront distribution afin qu'elle utilise le SNI pour traiter les requêtes HTTPS, consultez la section [Utilisation du SNI pour servir les requêtes HTTPS (fonctionne pour la plupart des clients)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) dans le guide du CloudFront développeur. Pour plus d'informations sur les certificats SSL personnalisés, consultez la section [Exigences relatives à l'utilisation de SSL/TLS certificats avec CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html).
## [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon chiffrent le trafic vers des origines personnalisées. Ce contrôle échoue pour une CloudFront distribution dont la politique du protocole d'origine autorise le « HTTP uniquement ». Ce contrôle échoue également si la politique du protocole d'origine de la distribution est « match-viewer » alors que la politique du protocole du viewer est « allow-all ».
Le protocole HTTPS (TLS) peut être utilisé pour empêcher l'écoute ou la manipulation du trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées.
### Correction
Pour mettre à jour la politique du protocole d'origine afin d'exiger le chiffrement d'une CloudFront connexion, consultez la section [Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) dans le *manuel du CloudFront développeur Amazon*.
## [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon utilisent des protocoles SSL obsolètes pour la communication HTTPS entre les emplacements CloudFront périphériques et vos origines personnalisées. Ce contrôle échoue si une CloudFront distribution possède un `CustomOriginConfig` Where `OriginSslProtocols` includes`SSLv3`.
En 2015, l'Internet Engineering Task Force (IETF) a officiellement annoncé que le protocole SSL 3.0 devait être abandonné car le protocole n'était pas suffisamment sécurisé. Il est recommandé d'utiliser la version TLSv1 2 ou une version ultérieure pour les communications HTTPS avec vos origines personnalisées.
### Correction
Pour mettre à jour les protocoles SSL d'origine pour une CloudFront distribution, consultez la section [Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes
**Exigences connexes :** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), PCI DSS v4.0.1/2.2.6
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon pointent vers des origines Amazon S3 inexistantes. Le contrôle échoue pour une CloudFront distribution si l'origine est configurée pour pointer vers un bucket inexistant. Ce contrôle s'applique uniquement aux CloudFront distributions où un compartiment S3 sans hébergement de site Web statique est l'origine S3.
Lorsqu'une CloudFront distribution de votre compte est configurée pour pointer vers un bucket inexistant, un tiers malveillant peut créer le bucket référencé et diffuser son propre contenu via votre distribution. Nous vous recommandons de vérifier toutes les origines, quel que soit le comportement de routage, afin de vous assurer que vos distributions pointent vers des origines appropriées.
### Correction
Pour modifier une CloudFront distribution afin qu'elle pointe vers une nouvelle origine, consultez la section [Mettre à jour une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le contrôle d'accès à l'origine (OAC) d'une CloudFront distribution Amazon avec une origine Amazon S3 est configuré. Le contrôle échoue si OAC n'est pas configuré pour la CloudFront distribution.
Lorsque vous utilisez un compartiment S3 comme origine pour votre CloudFront distribution, vous pouvez activer OAC. Cela permet d'accéder au contenu du bucket uniquement via la CloudFront distribution spécifiée, et interdit l'accès directement depuis le bucket ou une autre distribution. Bien qu'il soit CloudFront compatible avec Origin Access Identity (OAI), OAC offre des fonctionnalités supplémentaires, et les distributions utilisant OAI peuvent migrer vers OAC. Bien que l'OAI fournisse un moyen sécurisé d'accéder aux origines S3, il présente des limites, telles que le manque de prise en charge des configurations de politiques granulaires et des HTTP/HTTPS demandes utilisant la méthode POST Régions AWS nécessitant la version 4 de AWS signature (SigV4). OAI ne prend pas non plus en charge le chiffrement avec AWS Key Management Service. L'OAC est basé sur une bonne pratique qui AWS consiste à utiliser les principes de service IAM pour s'authentifier avec les origines S3.
### Correction
Pour configurer OAC pour une CloudFront distribution avec des origines S3, consultez [Restreindre l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.14] les CloudFront distributions doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**AWS Config règle :** `tagged-cloudfront-distribution` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une CloudFront distribution Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la distribution ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la distribution n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une CloudFront distribution, consultez la section [Marquage des CloudFront distributions Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres `securityPolicies` :** `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (non personnalisable)
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour utiliser une politique de sécurité TLS recommandée. Le contrôle échoue si la CloudFront distribution n'est pas configurée pour utiliser une politique de sécurité TLS recommandée.
Si vous configurez une CloudFront distribution Amazon pour obliger les utilisateurs à utiliser le protocole HTTPS pour accéder au contenu, vous devez choisir une politique de sécurité et spécifier la version minimale SSL/TLS du protocole à utiliser. Cela détermine la version du protocole CloudFront utilisée pour communiquer avec les utilisateurs, ainsi que les chiffrements CloudFront utilisés pour chiffrer les communications. Nous vous recommandons d'utiliser la dernière politique de sécurité qui CloudFront fournit. Cela garantit que CloudFront les suites de chiffrement les plus récentes sont utilisées pour chiffrer les données en transit entre un lecteur et une CloudFront distribution.
**Note**
Ce contrôle génère des résultats uniquement pour les CloudFront distributions configurées pour utiliser des certificats SSL personnalisés et qui ne sont pas configurées pour prendre en charge les anciens clients.
### Correction
Pour plus d'informations sur la configuration de la politique de sécurité d'une CloudFront distribution, consultez [Mettre à jour une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) dans le manuel *Amazon CloudFront Developer Guide*. Lorsque vous configurez la politique de sécurité d'une distribution, choisissez la dernière stratégie de sécurité.
## [CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le contrôle d'accès à l'origine (OAC) est activé pour une CloudFront distribution Amazon ayant une URL de AWS Lambda fonction comme origine. Le contrôle échoue si la CloudFront distribution possède une URL de fonction Lambda comme origine et que l'OAC n'est pas activé.
Une URL de AWS Lambda fonction est un point de terminaison HTTPS dédié pour une fonction Lambda. Si l'URL d'une fonction Lambda est l'origine d'une CloudFront distribution, l'URL de la fonction doit être accessible au public. Par conséquent, pour des raisons de sécurité, vous devez créer un OAC et l'ajouter à l'URL de la fonction Lambda dans une distribution. L'OAC utilise les principes du service IAM pour authentifier les demandes entre CloudFront et l'URL de la fonction. Il prend également en charge l'utilisation de politiques basées sur les ressources pour autoriser l'invocation d'une fonction uniquement si une demande provient d'une CloudFront distribution spécifiée dans la politique.
### Correction
Pour plus d'informations sur la configuration d'OAC pour une CloudFront distribution Amazon qui utilise une URL de fonction Lambda comme origine, [consultez Restreindre l'accès à l'origine de l'URL AWS Lambda d'une fonction](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) dans le manuel * CloudFront Amazon* Developer Guide.
## [CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour utiliser des groupes de clés fiables pour l'authentification par URL signée ou par cookie signé. Le contrôle échoue si la CloudFront distribution utilise des signataires fiables ou si aucune authentification n'est configurée pour la distribution.
Pour utiliser des cookies signés URLs ou signés, vous avez besoin d'un signataire. Un signataire est soit un groupe de clés fiables dans lequel vous créez CloudFront, soit un AWS compte contenant une paire de CloudFront clés. Nous vous recommandons d'utiliser des groupes de clés fiables, car avec les groupes de CloudFront clés, vous n'avez pas besoin d'utiliser l'utilisateur root du AWS compte pour gérer les clés publiques des cookies CloudFront signés URLs et signés.
**Note**
Ce contrôle n'évalue pas les CloudFront distributions `(connectionMode=tenant-only)` multi-locataires.
### Correction
Pour plus d'informations sur l'utilisation de groupes de clés fiables avec des cookies URLs et des signatures, consultez la section [Utilisation de groupes de clés fiables](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) dans le manuel *Amazon CloudFront Developer Guide*.
# Contrôles Security Hub CSPM pour AWS CloudTrail
Ces AWS Security Hub CSPM contrôles évaluent le AWS CloudTrail service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS AWS Foundations Benchmark v1.2.0/2.1, CIS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIST.800-53.r5 AC-4 (22) AWS NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `readWriteType`: `ALL` (non personnalisable)
`includeManagementEvents`: `true` (non personnalisable)
Ce contrôle vérifie s'il existe au moins un journal multirégional qui capture AWS CloudTrail les événements de gestion de lecture et d'écriture. Le contrôle échoue s'il CloudTrail est désactivé ou s'il n'existe pas au moins une CloudTrail trace qui capture les événements de gestion de lecture et d'écriture.
AWS CloudTrail enregistre les appels d' AWS API pour votre compte et vous envoie des fichiers journaux. Les informations enregistrées incluent les informations suivantes :
+ Identité de l'appelant d’API
+ Heure de l'appel API
+ Adresse IP source de l'appelant d’API
+ Paramètres de demande
+ Éléments de réponse renvoyés par Service AWS
CloudTrail fournit un historique des appels d' AWS API pour un compte, y compris les appels d'API effectués à partir des outils de ligne de commande AWS Management Console AWS SDKs,. L'historique inclut également les appels d'API provenant de niveaux supérieurs Services AWS tels que. AWS CloudFormation
L'historique des appels d' AWS API produit par CloudTrail permet l'analyse de la sécurité, le suivi des modifications des ressources et l'audit de conformité. Les journaux de suivi multi-régions offrent également les avantages suivants.
+ Un journal de suivi multi-régions permet de détecter les activités inattendues qui se produisent dans des régions par ailleurs inutilisées
+ Un journal de suivi multi-régions garantit que la journalisation mondiale des services est activée par défaut pour un journal de suivi. La journalisation des événements de service mondiaux enregistre les événements générés par les services AWS mondiaux.
+ Pour un parcours multirégional, les événements de gestion pour toutes les opérations de lecture et d'écriture garantissent que les opérations de gestion des CloudTrail enregistrements sur toutes les ressources d'un Compte AWS.
Par défaut, les CloudTrail sentiers créés à l'aide du AWS Management Console sont des sentiers multirégionaux.
### Correction
Pour créer un nouveau parcours multirégional dans CloudTrail, voir [Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de l'AWS CloudTrail utilisateur*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Paramètres supplémentaires, validation du fichier journal | Activé |
| Choisissez les événements du journal, les événements de gestion, l'activité de l'API | **Lisez** et **écrivez**. Désactivez les cases à cocher pour les exclusions. |
Pour mettre à jour un parcours existant, reportez-vous [à la section Mise à jour d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) dans le *Guide de AWS CloudTrail l'utilisateur*. Dans **Événements de gestion**, pour **l'activité de l'API**, choisissez **Read** and **Write**.
## [CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.5, CIS Foundations Benchmark v1.2.0/2.7, CIS AWS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 AWS SI-7 (6), NIST.800-171.R2 3.3.8, NIST.800-53.r5 SC-2 PCI DSS v3.2.1/3.4, NIST.800-53.r5 SC-7 PCI DSS v4.0.0.1/10,3.2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudTrail::Trail`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement côté serveur (SSE) CloudTrail est configuré pour utiliser le chiffrement côté serveur (SSE). AWS KMS key Le contrôle échoue si le `KmsKeyId` n'est pas défini.
Pour renforcer la sécurité de vos fichiers CloudTrail journaux sensibles, vous devez utiliser le [chiffrement côté serveur avec AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) pour vos fichiers CloudTrail journaux afin de les chiffrer au repos. Notez que par défaut, les fichiers journaux envoyés par CloudTrail vos buckets sont chiffrés par chiffrement [côté serveur Amazon avec des clés de chiffrement gérées par Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)).
### Correction
Pour activer le chiffrement SSE-KMS pour les fichiers CloudTrail journaux, voir [Mettre à jour un journal pour utiliser une clé KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) dans le Guide de l'*AWS CloudTrail utilisateur*.
## [CloudTrail.3] Au moins une CloudTrail piste doit être activée
**Exigences connexes :** NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/3.2.4 2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS CloudTrail parcours est activé dans votre Compte AWS. Le contrôle échoue si aucun suivi n'est activé sur votre compte. CloudTrail
Cependant, certains AWS services ne permettent pas de consigner tous APIs les événements. Vous devez mettre en œuvre toute piste d'audit supplémentaire autre que CloudTrail et consulter la documentation de chaque service dans la section [Services et intégrations CloudTrail pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).
### Correction
Pour commencer CloudTrail et créer un parcours, consultez le [AWS CloudTrail didacticiel de prise en main](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) du *guide de l'AWS CloudTrail utilisateur*.
## [CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.2, CIS Foundations Benchmark v1.2.0/2.2, CIS AWS Foundations Benchmark v1.4.0/3.2, Nist.800-53.R5 AU-9, Nist.800-53.R5 AWS SI-4, Nist.800-53.R5 AWS SI-7 (1), Nist.800-53.R5 SI-7 (3), NIST.800-53.R5 SI-7 (7), NIST.800-171.R2 3.3.8, PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2
**Catégorie :** Protection des données > Intégrité des données
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudTrail::Trail`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la validation de l'intégrité du fichier journal est activée sur un CloudTrail journal.
CloudTrail la validation du fichier journal crée un fichier condensé signé numériquement qui contient le hachage de chaque journal CloudTrail écrit sur Amazon S3. Vous pouvez utiliser ces fichiers de synthèse pour déterminer si un fichier journal a été modifié, supprimé ou inchangé après la CloudTrail livraison du journal.
Security Hub CSPM vous recommande d'activer la validation des fichiers sur tous les sentiers. La validation des fichiers journaux fournit des contrôles d'intégrité supplémentaires des CloudTrail journaux.
### Correction
Pour activer la validation du fichier CloudTrail journal, voir [Activation de la validation de l'intégrité du fichier journal CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) dans le *guide de AWS CloudTrail l'utilisateur*.
## [CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, CIS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, (4), (26), (9), Nist.800-53.R5 AWS SI-20, NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-2 (8), Nist.800-53.R5 SI-4 NIST.800-53.r5 AC-4 (20), Nist.800-53.R5 SI-4 NIST.800-53.r5 AC-6 (20) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, Nist.800-53.R5 800-53.R5 SI-4 NIST.800-53.r5 SC-7 (5), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudTrail::Trail`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudTrail sentiers sont configurés pour envoyer des CloudWatch journaux à Logs. Le contrôle échoue si la `CloudWatchLogsLogGroupArn` propriété de la piste est vide.
CloudTrail enregistre les appels d' AWS API effectués dans un compte donné. Les informations enregistrées incluent les éléments suivants :
+ L'identité de l'appelant de l'API
+ Heure de l'appel d'API
+ Adresse IP source de l'appelant de l'API
+ Les paramètres de la demande
+ Les éléments de réponse renvoyés par Service AWS
CloudTrail utilise Amazon S3 pour le stockage et la livraison des fichiers journaux. Vous pouvez capturer CloudTrail des journaux dans un compartiment S3 spécifique pour une analyse à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail l'envoi des CloudWatch journaux vers Logs.
Pour un suivi activé dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de CloudWatch journaux de journaux.
Security Hub CSPM vous recommande d'envoyer les CloudTrail journaux à CloudWatch Logs. Notez que cette recommandation vise à garantir que l'activité du compte est capturée, surveillée et déclenchée de manière appropriée. Vous pouvez utiliser CloudWatch Logs pour configurer cela avec votre Services AWS. Cette recommandation n'exclut pas l'utilisation d'une autre solution.
L'envoi de CloudTrail CloudWatch journaux à Logs facilite la journalisation en temps réel et historique des activités en fonction de l'utilisateur, de l'API, de la ressource et de l'adresse IP. Vous pouvez utiliser cette approche pour établir des alarmes et des notifications en cas d'activité anormale ou sensible du compte.
### Correction
Pour intégrer CloudTrail les CloudWatch journaux, consultez la section [Envoyer des événements aux CloudWatch journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) dans le *guide de AWS CloudTrail l'utilisateur*.
## [CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3, PCI DSS v4.0.1/1.4.4
**Catégorie :** Identifier - Journalisation
**Gravité :** Critique
**Type de ressource :** `AWS::S3::Bucket`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** périodique et déclenché par des modifications
**Paramètres :** Aucun
CloudTrail enregistre un enregistrement de chaque appel d'API effectué sur votre compte. Ces fichiers journaux sont stockés dans un compartiment S3. CIS recommande que la politique de compartiment S3, ou liste de contrôle d'accès (ACL), soit appliquée au compartiment S3 qui CloudTrail enregistre afin d'empêcher l'accès public aux CloudTrail journaux. Autoriser l'accès public au contenu des CloudTrail journaux peut aider un adversaire à identifier les faiblesses liées à l'utilisation ou à la configuration du compte concerné.
Pour exécuter cette vérification, Security Hub CSPM utilise d'abord une logique personnalisée pour rechercher le compartiment S3 dans lequel vos CloudTrail journaux sont stockés. Il utilise ensuite les règles AWS Config gérées pour vérifier que le bucket est accessible au public.
Si vous regroupez vos journaux dans un seul compartiment S3 centralisé, Security Hub CSPM effectue la vérification uniquement par rapport au compte et à la région où se trouve le compartiment S3 centralisé. Pour les autres comptes et régions, le statut du contrôle est **Aucune donnée**.
Si le compartiment est accessible au public, la vérification génère un échec de recherche.
### Correction
Pour bloquer l'accès public à votre compartiment CloudTrail S3, consultez la [section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. Sélectionnez les quatre paramètres d'accès public par bloc d'Amazon S3.
## [CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, PCI DSS AWS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
La journalisation des accès au compartiment S3 génère un journal qui contient les enregistrements d'accès pour chaque demande envoyée à votre compartiment S3. Un enregistrement du journal d'accès contient des détails sur la demande, tels que le type de demande, les ressources spécifiées dans la demande utilisée, ainsi que l'heure et la date du traitement de la demande.
CIS vous recommande d'activer la journalisation de l'accès au compartiment sur le compartiment CloudTrail S3.
En activant la journalisation des accès aux compartiments S3 cibles, vous pouvez capturer tous les événements susceptibles d'affecter les objets dans un compartiment cible. Si les journaux sont configurés pour être placés dans un compartiment distinct, il est possible d'accéder aux informations qu'ils contiennent, qui peuvent s'avérer utiles dans les flux de travail de sécurité et de réponse aux incidents.
Pour exécuter cette vérification, Security Hub CSPM utilise d'abord une logique personnalisée pour rechercher le compartiment dans lequel vos CloudTrail journaux sont stockés, puis utilise la règle AWS Config gérée pour vérifier si la journalisation est activée.
S'il CloudTrail fournit des fichiers journaux provenant de plusieurs compartiments Comptes AWS vers un seul compartiment Amazon S3 de destination, Security Hub CSPM évalue ce contrôle uniquement par rapport au compartiment de destination de la région où il se trouve. Cela rationalise vos résultats. Toutefois, vous devez l'activer CloudTrail dans tous les comptes qui fournissent des journaux au compartiment de destination. Pour tous les comptes, à l'exception de celui qui contient le compartiment de destination, le statut de contrôle est **Aucune donnée**.
### Correction
Pour activer la journalisation de l'accès au serveur pour votre compartiment CloudTrail S3, consultez la section [Activation de la journalisation de l'accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) *dans le guide de l'utilisateur d'Amazon Simple Storage Service*.
## [CloudTrail.9] les CloudTrail sentiers doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudTrail::Trail`
**AWS Config règle :** `tagged-cloudtrail-trail` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS CloudTrail parcours possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le parcours ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le parcours n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un CloudTrail parcours, reportez-vous [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)à la *référence de l'AWS CloudTrail API*.
## [CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys
**Exigences connexes :** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudTrail::EventDataStore`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Une liste des noms de ressources Amazon (ARNs) AWS KMS keys à inclure dans l'évaluation. Le contrôle permet de déterminer `FAILED` si un magasin de données d'événements n'est pas chiffré avec une clé KMS dans la liste. | StringList (maximum de 3 articles) | 1 à 3 ARNs des clés KMS existantes. Par exemple : `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Aucune valeur par défaut |
Ce contrôle vérifie si un magasin de données d'événements AWS CloudTrail Lake est chiffré au repos et qu'il est géré par un client AWS KMS key. Le contrôle échoue si le magasin de données d'événements n'est pas chiffré à l'aide d'une clé KMS gérée par le client. Vous pouvez éventuellement spécifier une liste de clés KMS que le contrôle doit inclure dans l'évaluation.
Par défaut, AWS CloudTrail Lake chiffre les magasins de données d'événements avec des clés gérées par Amazon S3 (SSE-S3), à l'aide d'un algorithme AES-256. Pour un contrôle supplémentaire, vous pouvez configurer CloudTrail Lake pour crypter un magasin de données d'événements avec un magasin géré par le client AWS KMS key (SSE-KMS) à la place. Une clé KMS gérée par le client est une clé AWS KMS key que vous créez, détenez et gérez dans votre Compte AWS. Vous avez un contrôle total sur ce type de clé KMS. Cela inclut la définition et le maintien de la politique des clés, la gestion des subventions, la rotation du matériel cryptographique, l'attribution de balises, la création d'alias, ainsi que l'activation et la désactivation de la clé. Vous pouvez utiliser une clé KMS gérée par le client dans le cadre des opérations de chiffrement de vos CloudTrail données et auditer l'utilisation à l'aide de CloudTrail journaux.
### Correction
Pour plus d'informations sur le chiffrement d'un magasin de données d'événements AWS CloudTrail Lake avec un AWS KMS key que vous spécifiez, voir [Mettre à jour un magasin de données d'événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) dans le *Guide de l'AWS CloudTrail utilisateur*. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
# Contrôles Security Hub CSPM pour Amazon CloudWatch
Ces AWS Security Hub CSPM contrôles évaluent le CloudWatch service et les ressources Amazon. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS Foundations Benchmark v1.4.0/4.3, AWS NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7, AWS PCI DSS v3.2.1/7.2.1
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
L'utilisateur root a un accès illimité à tous les services et ressources d'un Compte AWS. Nous vous recommandons vivement d'éviter d'utiliser l'utilisateur root pour les tâches quotidiennes. Minimiser l'utilisation de l'utilisateur root et adopter le principe du moindre privilège pour la gestion des accès réduisent le risque de modifications accidentelles et de divulgation involontaire d'informations d'identification hautement privilégiées.
Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour [effectuer des tâches de gestion des comptes et des services](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Appliquez les politiques Gestion des identités et des accès AWS (IAM) directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour un didacticiel sur la configuration d'un administrateur pour une utilisation quotidienne, voir [Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM dans le guide de l'utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) *IAM*
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 1.7 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les appels d'API non autorisés. La surveillance des appels d'API non autorisés contribue à révéler les erreurs d'application et à détecter plus rapidement les opérations malveillantes.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 3.1 dans le [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.2
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et des connexions à la console d'alarme qui ne soient pas protégées par le MFA. La surveillance des connexions à un seul facteur à la console améliore la visibilité sur les comptes qui ne sont pas protégés par un MFA.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 3.2 dans le [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS AWS Foundations Benchmark v1.4.0/4.4, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vous surveillez les appels d'API en temps réel en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux politiques IAM. Ceci permet de s'assurer que les contrôles d'authentification et d'autorisation restent inchangés.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
**Note**
Le modèle de filtre que nous recommandons pour ces étapes de correction est différent du modèle de filtre indiqué dans les directives du CIS. Nos filtres recommandés ciblent uniquement les événements provenant d'appels d'API IAM.
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS AWS Foundations Benchmark v1.4.0/4.5, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux paramètres CloudTrail de configuration. Ceci permet de garantir une visibilité constante sur les activités du compte.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.5 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS AWS Foundations Benchmark v1.4.0/4.6, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme en cas d'échec des tentatives d'authentification de console. La surveillance des échecs de connexion à la console peut contribuer à réduire les délais de détection d'une tentative de connexion en force, ce qui peut fournir un indicateur, telle une adresse IP source, qui pourra servir dans d'autres corrélations d'événements.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.6 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS AWS Foundations Benchmark v1.4.0/4.7, NIST.800-171.R2 3.13.10, NIST.800-171.R2 3.13.16, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les clés gérées par le client dont l'état est passé à Désactivé ou à suppression planifiée. Les données chiffrées avec des clés désactivées ou supprimées ne sont plus accessibles.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.7 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique. Le contrôle échoue également s'il `ExcludeManagementEventSources` contient`kms.amazonaws.com`.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS AWS Foundations Benchmark v1.4.0/4.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux politiques du compartiment S3. La surveillance de ces modifications peut contribuer à réduire les délais de détection et de correction des stratégies permissives associées aux compartiments S3 sensibles.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.8 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS AWS Foundations Benchmark v1.4.0/4.9, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux paramètres AWS Config de configuration. La surveillance de ces modifications permet de garantir une visibilité constante sur les éléments de configuration du compte.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.9 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS AWS Foundations Benchmark v1.4.0/4.10, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les groupes de sécurité constituent un filtre de paquet avec état qui contrôle le trafic entrant et sortant dans un VPC.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux groupes de sécurité. La surveillance de ces modifications permet de s'assurer que les ressources et les services ne sont pas involontairement exposés.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.10 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS AWS Foundations Benchmark v1.4.0/4.11, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. NACLs sont utilisés comme filtre de paquets sans état pour contrôler le trafic entrant et sortant des sous-réseaux d'un VPC.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées à NACLs. Le suivi de ces changements permet de s'assurer que AWS les ressources et les services ne sont pas exposés involontairement.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.11 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS AWS Foundations Benchmark v1.4.0/4.12, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les passerelles réseau permettent d'envoyer et de recevoir le trafic vers une destination en dehors d'un VPC.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux passerelles réseau. La surveillance de ces modifications permet de s'assurer que tout le trafic entrant et sortant traverse le VPC par un chemin d'accès contrôlé.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.12 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS AWS Foundations Benchmark v1.4.0/4.13, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vous surveillez les appels d'API en temps réel en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les tables de routage acheminent le trafic réseau entre les sous-réseaux et vers les passerelles réseau.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux tables de routage. La surveillance de ces modifications permet de s'assurer que l'ensemble du trafic du VPC passe par un chemin d'accès attendu.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
**Note**
Le modèle de filtre que nous recommandons pour ces étapes de correction est différent du modèle de filtre indiqué dans les directives du CIS. Nos filtres recommandés ciblent uniquement les événements provenant des appels d'API Amazon Elastic Compute Cloud (EC2).
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS AWS Foundations Benchmark v1.4.0/4.14, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Vous pouvez avoir plusieurs VPC dans un compte, et vous pouvez créer une connexion homologue entre deux VPCs, permettant ainsi au trafic réseau d'être acheminé entre eux. VPCs
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées à VPCs. Ceci permet de s'assurer que les contrôles d'authentification et d'autorisation restent inchangés.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.14 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
**Exigences connexes :** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 IR-4 (1), NIST.800-53.R5 IR-4 (5), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-20, NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5), NIST.800-171.R2 3.3.4, NIST.800-171.R2 3.14.R2 6
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudWatch::Alarm`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `alarmActionRequired` | La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`ALARM`. | Booléen | Non personnalisable | `true` |
| `insufficientDataActionRequired` | La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`INSUFFICIENT_DATA`. | Booléen | `true` ou `false` | `false` |
| `okActionRequired` | La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`OK`. | Booléen | `true` ou `false` | `false` |
Ce contrôle vérifie si au moins une action est configurée pour l'`ALARM`état d'une CloudWatch alarme Amazon. Le contrôle échoue si aucune action de l'alarme n'est configurée pour `ALARM` cet état. Vous pouvez éventuellement inclure des valeurs de paramètres personnalisées afin de demander également des actions d'alarme pour les `OK` états `INSUFFICIENT_DATA` ou.
**Note**
Security Hub CSPM évalue ce contrôle en fonction CloudWatch des alarmes métriques. Les alarmes métriques peuvent faire partie d'alarmes composites dont les actions spécifiées sont configurées. Le contrôle génère `FAILED` des résultats dans les cas suivants :
Les actions spécifiées ne sont pas configurées pour une alarme métrique.
L'alarme métrique fait partie d'une alarme composite dont les actions spécifiées sont configurées.
Ce contrôle se concentre sur le fait de savoir si une CloudWatch action d'alarme est configurée pour une alarme, tandis que [CloudWatch.17](#cloudwatch-17) se concentre sur l'état d'activation d'une action CloudWatch d'alarme.
Nous recommandons des actions CloudWatch d'alarme pour vous avertir automatiquement lorsqu'une métrique surveillée dépasse le seuil défini. Les alarmes de surveillance vous aident à identifier les activités inhabituelles et à réagir rapidement aux problèmes de sécurité et de fonctionnement lorsqu'une alarme passe dans un état spécifique. Le type d'action d'alarme le plus courant consiste à avertir un ou plusieurs utilisateurs en envoyant un message à une rubrique Amazon Simple Notification Service (Amazon SNS).
### Correction
Pour plus d'informations sur les actions prises en charge par les CloudWatch alarmes, consultez la section [Actions d'alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) dans le *guide de CloudWatch l'utilisateur Amazon*.
## [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée
**Catégorie :** Identifier - Journalisation
**Exigences connexes :** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12
**Gravité :** Moyenne
**Type de ressource :** `AWS::Logs::LogGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minRetentionTime` | Période de conservation minimale en jours pour les groupes de CloudWatch journaux | Enum | `365, 400, 545, 731, 1827, 3653` | `365` |
Ce contrôle vérifie si un groupe de CloudWatch journaux Amazon a une période de conservation d'au moins le nombre de jours spécifié. Le contrôle échoue si la période de rétention est inférieure au nombre spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rétention, Security Hub CSPM utilise une valeur par défaut de 365 jours.
CloudWatch Les journaux centralisent les journaux de tous vos systèmes et applications, Services AWS au sein d'un seul service hautement évolutif. Vous pouvez utiliser CloudWatch Logs pour surveiller, stocker et accéder à vos fichiers journaux à partir d'instances Amazon Elastic Compute Cloud (EC2), d' AWS CloudTrail Amazon Route 53 et d'autres sources. La conservation de vos journaux pendant au moins un an peut vous aider à respecter les normes de conservation des journaux.
### Correction
Pour configurer les paramètres de conservation des journaux, consultez la section [Conservation des données des CloudWatch journaux des modifications dans Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) du *guide de CloudWatch l'utilisateur Amazon*.
## [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
**Catégorie :** Détecter - Services de détection
**Exigences connexes :** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudWatch::Alarm`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cette commande vérifie si les actions CloudWatch d'alarme sont activées (elles `ActionEnabled` doivent être réglées sur true). La commande échoue si l'action d'alarme associée à une CloudWatch alarme est désactivée.
**Note**
Security Hub CSPM évalue ce contrôle en fonction CloudWatch des alarmes métriques. Les alarmes métriques peuvent faire partie d'alarmes composites dont les actions d'alarme sont activées. Le contrôle génère `FAILED` des résultats dans les cas suivants :
Les actions spécifiées ne sont pas configurées pour une alarme métrique.
L'alarme métrique fait partie d'une alarme composite dont les actions d'alarme sont activées.
Ce contrôle se concentre sur l'état d'activation d'une action CloudWatch d'alarme, tandis que [CloudWatch.15](#cloudwatch-15) se concentre sur la configuration d'une `ALARM` action dans une CloudWatch alarme.
Les actions d'alarme vous alertent automatiquement lorsqu'une métrique surveillée dépasse le seuil défini. Si l'action d'alarme est désactivée, aucune action n'est exécutée lorsque l'alarme change d'état, et vous ne serez pas averti des modifications des mesures surveillées. Nous vous recommandons CloudWatch d'activer les actions d'alarme pour vous aider à réagir rapidement aux problèmes de sécurité et de fonctionnement.
### Correction
**Pour activer une action CloudWatch d'alarme (console)**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, sous **Alarmes**, sélectionnez **Toutes les alarmes**.
1. Sélectionnez l'alarme pour laquelle vous souhaitez activer des actions.
1. **Pour **Actions**, choisissez **Actions d'alarme : nouveau**, puis sélectionnez Activer.**
Pour plus d'informations sur l'activation des actions CloudWatch d'alarme, consultez la section [Actions d'alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) dans le *guide de CloudWatch l'utilisateur Amazon*.
# Contrôles Security Hub CSPM pour CodeArtifact
Ces contrôles CSPM du Security Hub évaluent le AWS CodeArtifact service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeArtifact::Repository`
**AWS Config règle :** `tagged-codeartifact-repository` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS CodeArtifact dépôt possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le référentiel ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le référentiel n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un CodeArtifact référentiel, voir [Marquer un référentiel CodeArtifact dans](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) le *Guide de AWS CodeArtifact l'utilisateur*.
# Contrôles Security Hub CSPM pour CodeBuild
Ces contrôles CSPM du Security Hub évaluent le AWS CodeBuild service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles
**Exigences connexes :** PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'URL du référentiel source Bitbucket d'un AWS CodeBuild projet contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe. Le contrôle échoue si l'URL du référentiel source de Bitbucket contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe.
**Note**
Ce contrôle évalue à la fois la source principale et les sources secondaires d'un projet de CodeBuild construction. Pour plus d'informations sur les sources de projet, consultez l'[exemple de sources d'entrée multiples et d'artefacts de sortie](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) dans le *guide de AWS CodeBuild l'utilisateur*.
Les informations de connexion ne doivent pas être stockées ou transmises en texte clair ni apparaître dans l'URL du référentiel source. Au lieu d'utiliser des jetons d'accès personnels ou des identifiants de connexion, vous devez accéder à votre fournisseur source et modifier l'URL de votre dépôt source pour qu'elle ne contienne que le chemin d'accès à l'emplacement du référentiel Bitbucket. CodeBuild L'utilisation de jetons d'accès personnels ou d'identifiants de connexion peut entraîner une exposition involontaire aux données ou un accès non autorisé.
### Correction
Vous pouvez mettre à jour votre CodeBuild projet pour l'utiliser OAuth.
**Pour supprimer le jeton d'accès personnel/(GitHub) d'authentification de base de la source du CodeBuild projet**
1. Ouvrez la CodeBuild console à l'adresse [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).
1. Sélectionnez votre projet de génération qui contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe
1. Dans **Edit (Modifier)**, choisissez **Source**.
1. Choisissez **Déconnecter de GitHub /Bitbucket.**
1. Choisissez **Connect using OAuth**, puis **Connect to GitHub/Bitbucket**.
1. Lorsque vous y êtes invité, choisissez **authorize as appropriate (autoriser le cas échéant)**.
1. Reconfigurez l'URL du référentiel et les paramètres de configuration supplémentaire si nécessaire.
1. Choisissez **Mettre à jour la source**.
Pour plus d'informations, reportez-vous aux [exemples d'CodeBuild utilisation basés sur des cas](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) dans le *Guide de l'AWS CodeBuild utilisateur*.
## [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair
**Exigences connexes :** NIST.800-53.r5 IA-5 (7), PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le projet contient des variables d'environnement `AWS_ACCESS_KEY_ID` et `AWS_SECRET_ACCESS_KEY`.
Les informations d'identification `AWS_ACCESS_KEY_ID` et `AWS_SECRET_ACCESS_KEY` ne doivent jamais être stockées en texte clair, car cela pourrait conduire à une exposition involontaire des données et un accès non autorisé.
### Correction
Pour supprimer des variables d'environnement d'un CodeBuild projet, voir [Modifier les paramètres d'un projet de construction AWS CodeBuild dans](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) le *Guide de AWS CodeBuild l'utilisateur*. Assurez-vous que rien n'est sélectionné pour les **variables d'environnement**.
Vous pouvez stocker des variables d'environnement contenant des valeurs sensibles dans le magasin de AWS Systems Manager paramètres ou AWS Secrets Manager les récupérer à partir de vos spécifications de construction. Pour obtenir des instructions, reportez-vous à la case intitulée **Important** dans la [section Environnement](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) du *guide de AWS CodeBuild l'utilisateur*.
## [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6), PCI DSS v4.0.1/10.3.2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les journaux Amazon S3 d'un AWS CodeBuild projet sont chiffrés. Le contrôle échoue si le chiffrement est désactivé pour les journaux S3 d'un CodeBuild projet.
Le chiffrement des données au repos est une bonne pratique recommandée pour ajouter une couche de gestion des accès à vos données. Le chiffrement des journaux au repos réduit le risque qu'un utilisateur non authentifié AWS accède aux données stockées sur le disque. Il ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données.
### Correction
Pour modifier les paramètres de chiffrement des journaux CodeBuild du projet S3, voir [Modifier les paramètres d'un projet de génération AWS CodeBuild dans](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) le *Guide de AWS CodeBuild l'utilisateur*.
## [CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un environnement de CodeBuild projet dispose d'au moins une option de journalisation, soit vers S3, soit avec CloudWatch les journaux activés. Ce contrôle échoue si au moins une option de journalisation n'est pas activée dans un environnement de CodeBuild projet.
Du point de vue de la sécurité, la journalisation est une fonctionnalité importante pour permettre les futurs efforts de criminalistique en cas d'incident de sécurité. La corrélation entre les anomalies des CodeBuild projets et les détections de menaces peut accroître la confiance dans la précision de ces détections de menaces.
### Correction
Pour plus d'informations sur la configuration des paramètres CodeBuild du journal de projet, voir [Créer un projet de génération (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) dans le guide de CodeBuild l'utilisateur.
## [CodeBuild.5] le mode privilégié ne doit pas être activé dans les environnements de CodeBuild projet
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences associées :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Catégorie :** Protéger > Gestion des accès sécurisés
**Gravité :** Élevée
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le mode privilégié est activé ou désactivé dans un environnement de AWS CodeBuild projet. Le contrôle échoue si le mode privilégié est activé dans un environnement de CodeBuild projet.
Par défaut, les conteneurs Docker n'autorisent l'accès à aucun périphérique. Le mode privilégié accorde un accès au conteneur Docker d'un projet de génération à tous les périphériques. Le réglage `privilegedMode` avec une valeur `true` permet au démon Docker de s'exécuter dans un conteneur Docker. Le démon Docker écoute les demandes d'API Docker et gère les objets Docker tels que les images, les conteneurs, les réseaux et les volumes. Ce paramètre ne doit être défini sur true que si le projet de génération est utilisé pour créer des images Docker. Dans le cas contraire, ce paramètre doit être désactivé pour empêcher tout accès involontaire à Docker APIs ainsi qu'au matériel sous-jacent du conteneur. Le réglage `privilegedMode` sur `false` permet de protéger les ressources critiques contre la falsification et la suppression.
### Correction
Pour configurer les paramètres d'environnement CodeBuild du projet, voir [Créer un projet de génération (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) dans le *guide de CodeBuild l'utilisateur*. Dans la section **Environnement**, ne sélectionnez pas le paramètre **Privileged**.
## [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::CodeBuild::ReportGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les résultats des tests d'un groupe de AWS CodeBuild rapports exportés vers un bucket Amazon Simple Storage Service (Amazon S3) sont chiffrés au repos. Le contrôle échoue si l'exportation du groupe de rapports n'est pas cryptée au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour chiffrer l'exportation du groupe de rapports vers S3, voir [Mettre à jour un groupe de rapports](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) dans le *Guide de l'AWS CodeBuild utilisateur*.
# Contrôles Security Hub CSPM pour Amazon Profiler CodeGuru
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon CodeGuru Profiler.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeGuruProfiler::ProfilingGroup`
**Règle AWS Config :** `codeguruprofiler-profiling-group-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de CodeGuru profilage Amazon Profiler possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le groupe de profilage ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de profilage n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un groupe de profilage CodeGuru Profiler, consultez la section [Marquage des groupes de profilage](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) dans le guide de l'utilisateur d'*Amazon CodeGuru Profiler*.
# Contrôles CSPM du Security Hub pour Amazon Reviewer CodeGuru
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon CodeGuru Reviewer.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeGuruReviewer::RepositoryAssociation`
**Règle AWS Config :** `codegurureviewer-repository-association-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une association de référentiel Amazon CodeGuru Reviewer possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'association du référentiel ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'association du référentiel n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une association de référentiel CodeGuru Reviewer, consultez la section [Marquage d'une association de référentiel](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) dans le *guide de l'utilisateur Amazon CodeGuru Reviewer*.
# Contrôles CSPM du Security Hub pour Amazon Cognito
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Cognito. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `SecurityMode` | Mode d'application de la protection contre les menaces vérifié par le contrôle. | String | `AUDIT`, `ENFORCED` | `ENFORCED` |
Ce contrôle vérifie si la protection contre les menaces est activée dans un groupe d'utilisateurs Amazon Cognito avec le mode d'application réglé sur toutes les fonctionnalités pour l'authentification standard. Le contrôle échoue si la protection contre les menaces du groupe d'utilisateurs est désactivée ou si le mode d'application n'est pas configuré pour fonctionner pleinement pour l'authentification standard. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub CSPM utilise la valeur par défaut de `ENFORCED` pour le mode d'application défini sur pleine fonction pour l'authentification standard.
Après avoir créé un groupe d'utilisateurs Amazon Cognito, vous pouvez activer la protection contre les menaces et personnaliser les actions entreprises en réponse aux différents risques. Vous pouvez également utiliser le mode audit pour recueillir des mesures sur les risques détectés sans appliquer de mesures de sécurité. En mode audit, la protection contre les menaces publie des statistiques sur Amazon CloudWatch. Vous pouvez consulter les statistiques une fois qu'Amazon Cognito a généré son premier événement.
### Correction
Pour plus d'informations sur l'activation de la protection contre les menaces pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Sécurité avancée avec protection contre les menaces](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) dans le guide du développeur *Amazon Cognito*.
## [Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::IdentityPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un pool d'identités Amazon Cognito est configuré pour autoriser les identités non authentifiées. Le contrôle échoue si l'accès invité est activé (le `AllowUnauthenticatedIdentities` paramètre est défini sur`true`) pour le pool d'identités.
Si un pool d'identités Amazon Cognito autorise les identités non authentifiées, il fournit des informations d' AWS identification temporaires aux utilisateurs qui ne se sont pas authentifiés via un fournisseur d'identité (invités). Cela crée des risques de sécurité car cela permet un accès anonyme aux AWS ressources. Si vous désactivez l'accès invité, vous pouvez garantir que seuls les utilisateurs correctement authentifiés peuvent accéder à vos AWS ressources, ce qui réduit le risque d'accès non autorisé et de failles de sécurité potentielles. En tant que bonne pratique, un pool d'identités doit nécessiter une authentification auprès des fournisseurs d'identité pris en charge. Si un accès non authentifié est nécessaire, il est important de limiter soigneusement les autorisations relatives aux identités non authentifiées et de vérifier et de surveiller régulièrement leur utilisation.
### Correction
Pour plus d'informations sur la désactivation de l'accès invité pour un pool d'identités Amazon Cognito, [consultez la section Activer ou désactiver l'accès invité dans le](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) guide du développeur Amazon *Cognito*.
## [Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minLength` | Le nombre minimum de caractères que doit contenir un mot de passe. | Entier | `8` sur `128` | `8 ` |
| `requireLowercase` | Le mot de passe doit comporter au moins une minuscule. | Booléen | `True`, `False` | `True` |
| `requireUppercase` | Le mot de passe doit comporter au moins une majuscule. | Booléen | `True`, `False` | `True` |
| `requireNumbers` | Le mot de passe doit contenir au moins un chiffre. | Booléen | `True`, `False` | `True` |
| `requireSymbols` | Un mot de passe doit comporter au moins un symbole. | Booléen | `True`, `False` | `True` |
| `temporaryPasswordValidity` | Nombre maximal de jours pendant lesquels un mot de passe peut exister avant son expiration. | Entier | `7` sur `365` | `7` |
Ce contrôle vérifie si la politique de mot de passe d'un groupe d'utilisateurs Amazon Cognito nécessite l'utilisation de mots de passe forts, sur la base des paramètres recommandés pour les politiques de mots de passe. Le contrôle échoue si la politique de mot de passe du groupe d'utilisateurs n'exige pas de mots de passe forts. Vous pouvez éventuellement spécifier des valeurs personnalisées pour les paramètres de politique vérifiés par le contrôle.
Les mots de passe forts constituent une bonne pratique de sécurité pour les groupes d'utilisateurs d'Amazon Cognito. Les mots de passe faibles peuvent exposer les informations d'identification des utilisateurs à des systèmes qui devinent les mots de passe et tentent d'accéder aux données. C'est notamment le cas pour les applications ouvertes sur Internet. Les politiques de mot de passe constituent un élément central de la sécurité des annuaires d'utilisateurs. En utilisant une politique de mot de passe, vous pouvez configurer un groupe d'utilisateurs pour exiger la complexité des mots de passe et d'autres paramètres conformes à vos normes et exigences de sécurité.
### Correction
Pour plus d'informations sur la création ou la mise à jour de la politique de mot de passe pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Ajout d'exigences relatives au mot de passe du groupe d'utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) dans le guide du développeur *Amazon Cognito*.
## [Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les menaces est activée dans un groupe d'utilisateurs Amazon Cognito, le mode d'application étant réglé sur toutes les fonctionnalités pour une authentification personnalisée. Le contrôle échoue si la protection contre les menaces est désactivée dans le groupe d'utilisateurs ou si le mode d'application n'est pas configuré sur toutes les fonctionnalités pour une authentification personnalisée.
La protection contre les menaces, anciennement appelée fonctionnalités de sécurité avancées, est un ensemble d'outils de surveillance des activités indésirables dans votre groupe d'utilisateurs et d'outils de configuration permettant de mettre automatiquement fin aux activités potentiellement malveillantes. Après avoir créé un groupe d'utilisateurs Amazon Cognito, vous pouvez activer la protection contre les menaces avec le mode d'application complet pour une authentification personnalisée et personnaliser les actions entreprises en réponse aux différents risques. Le mode multifonction inclut un ensemble de réactions automatiques pour détecter les activités indésirables et les mots de passe compromis.
### Correction
Pour plus d'informations sur l'activation de la protection contre les menaces pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Sécurité avancée avec protection contre les menaces](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) dans le guide du développeur *Amazon Cognito*.
## [Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
**Catégorie : Protection** > Gestion des accès sécurisés > Authentification multifactorielle
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée dans un groupe d'utilisateurs Amazon Cognito configuré avec une politique de connexion par mot de passe uniquement. Le contrôle échoue si le groupe d'utilisateurs configuré avec une politique de connexion par mot de passe uniquement n'a pas activé la MFA.
L'authentification multifactorielle (MFA) ajoute un facteur d'authentification à un facteur que vous connaissez (généralement un nom d'utilisateur et un mot de passe). Pour les utilisateurs fédérés, Amazon Cognito délègue l'authentification au fournisseur d'identité (IdP) et ne propose aucun facteur d'authentification supplémentaire. Toutefois, si vous avez des utilisateurs locaux dotés d'une authentification par mot de passe, la configuration de l'authentification MFA pour le groupe d'utilisateurs renforce leur sécurité.
**Note**
Ce contrôle ne s'applique pas aux utilisateurs fédérés et aux utilisateurs qui se connectent sans mot de passe.
### Correction
*Pour plus d'informations sur la configuration de l'authentification multifacteur pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Ajouter une authentification multifacteur à un groupe d'utilisateurs dans le manuel Amazon Cognito Developer](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) Guide.*
## [Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée pour un groupe d'utilisateurs Amazon Cognito. Le contrôle échoue si la protection contre la suppression est désactivée pour le groupe d'utilisateurs.
La protection contre la suppression permet de garantir que votre groupe d'utilisateurs n'est pas supprimé accidentellement. Lorsque vous configurez un groupe d'utilisateurs avec protection contre les suppressions, aucun utilisateur ne peut le supprimer. La protection contre la suppression vous empêche de demander la suppression d'un groupe d'utilisateurs à moins que vous ne le modifiiez au préalable et que vous ne désactiviez la protection contre les suppressions.
### Correction
Pour configurer la protection contre la suppression pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Protection contre la suppression du groupe d'utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) dans le manuel *Amazon Cognito Developer* Guide.
# Contrôles Security Hub CSPM pour AWS Config
Ces contrôles CSPM du Security Hub évaluent le AWS Config service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, Nist.800-53.R5 CM-3, NIST.800-53.R5 CM-6 (1), NIST.800-53.R5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5 AWS
**Catégorie :** Identifier - Inventaire
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `includeConfigServiceLinkedRoleCheck` | Le contrôle n'évalue pas si le rôle lié au service est AWS Config utilisé si le paramètre est défini sur. `false` | Booléen | `true` ou `false` | `true` |
Ce contrôle vérifie si votre compte AWS Config est activé actuellement Région AWS, enregistre toutes les ressources correspondant aux contrôles activés dans la région actuelle et utilise le rôle [lié au service AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). Le nom du rôle lié au service est. **AWSServiceRoleForConfig** Si vous n'utilisez pas le rôle lié au service et que vous ne définissez pas le `includeConfigServiceLinkedRoleCheck` paramètre sur`false`, le contrôle échoue car les autres rôles ne disposent peut-être pas des autorisations nécessaires AWS Config pour enregistrer correctement vos ressources.
Le AWS Config service gère la configuration des AWS ressources prises en charge dans votre compte et vous fournit des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (AWS ressource), les relations entre les éléments de configuration et tout changement de configuration au sein des ressources. Les ressources mondiales sont des ressources disponibles dans n'importe quelle région.
Le contrôle est évalué comme suit :
+ Si la région actuelle est définie comme votre [région d'agrégation](finding-aggregation.md), le contrôle produit des `PASSED` résultats uniquement si des ressources globales Gestion des identités et des accès AWS (IAM) sont enregistrées (si vous avez activé les contrôles qui les nécessitent).
+ Si la région actuelle est définie comme une région liée, le contrôle n'évalue pas si les ressources globales IAM sont enregistrées.
+ Si la région actuelle ne figure pas dans votre agrégateur, ou si l'agrégation entre régions n'est pas configurée dans votre compte, le contrôle produit des `PASSED` résultats uniquement si les ressources globales IAM sont enregistrées (si vous avez activé les contrôles qui les nécessitent).
Les résultats du contrôle ne sont pas affectés par le fait que vous choisissiez l'enregistrement quotidien ou continu des modifications de l'état des ressources dans AWS Config. Toutefois, les résultats de ce contrôle peuvent changer lorsque de nouveaux contrôles sont publiés si vous avez configuré l'activation automatique de nouveaux contrôles ou si vous disposez d'une politique de configuration centrale qui active automatiquement les nouveaux contrôles. Dans ces cas, si vous n'enregistrez pas toutes les ressources, vous devez configurer l'enregistrement pour les ressources associées à de nouveaux contrôles afin de recevoir un `PASSED` résultat.
Les contrôles de sécurité CSPM du Security Hub fonctionnent comme prévu uniquement si vous les activez AWS Config dans toutes les régions et configurez l'enregistrement des ressources pour les contrôles qui l'exigent.
**Note**
Config.1 nécessite que cela AWS Config soit activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM.
Security Hub CSPM étant un service régional, la vérification effectuée pour ce contrôle évalue uniquement la région actuelle du compte.
Pour autoriser les contrôles de sécurité par rapport aux ressources mondiales IAM d'une région, vous devez enregistrer les ressources mondiales IAM dans cette région. Les régions pour lesquelles aucune ressource globale IAM n'est enregistrée recevront un `PASSED` résultat par défaut pour les contrôles qui vérifient les ressources globales IAM. Les ressources globales IAM étant identiques Régions AWS, nous vous recommandons d'enregistrer les ressources mondiales IAM uniquement dans la région d'origine (si l'agrégation entre régions est activée dans votre compte). Les ressources IAM seront enregistrées uniquement dans la région dans laquelle l'enregistrement des ressources globales est activé.
Les types de ressources IAM enregistrés dans le monde entier qui sont pris AWS Config en charge sont les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM. Vous pouvez envisager de désactiver les contrôles Security Hub CSPM qui vérifient ces types de ressources dans les régions où l'enregistrement des ressources globales est désactivé. Pour de plus amples informations, veuillez consulter [Contrôles suggérés à désactiver dans Security Hub CSPM](controls-to-disable.md).
### Correction
Dans la région d'origine et les régions qui ne font pas partie d'un agrégateur, enregistrez toutes les ressources requises pour les contrôles activés dans la région actuelle, y compris les ressources globales IAM si vous avez activé des contrôles qui nécessitent des ressources mondiales IAM.
Dans les régions liées, vous pouvez utiliser n'importe quel AWS Config mode d'enregistrement, à condition d'enregistrer toutes les ressources correspondant aux contrôles activés dans la région actuelle. Dans les régions liées, si vous avez activé les contrôles qui nécessitent l'enregistrement des ressources globales IAM, vous ne recevrez aucun `FAILED` résultat (votre enregistrement des autres ressources est suffisant).
Le `StatusReasons` champ situé dans l'`Compliance`objet de votre recherche peut vous aider à déterminer pourquoi votre recherche a échoué pour ce contrôle. Pour de plus amples informations, veuillez consulter [Détails de conformité pour les résultats des contrôles](controls-findings-create-update.md#control-findings-asff-compliance).
Pour obtenir la liste des ressources qui doivent être enregistrées pour chaque contrôle, voir[AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md). Pour des informations générales sur l'activation AWS Config et la configuration de l'enregistrement des ressources, consultez[Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md).
# Contrôles Security Hub CSPM pour Amazon Connect
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon Connect.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CustomerProfiles::ObjectType`
**Règle AWS Config :** `customerprofiles-object-type-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un type d'objet Amazon Connect Customer Profiles possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le type d'objet ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le type d'objet n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un type d'objet Customer Profiles, consultez la section [Ajouter des balises aux ressources dans Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) dans le manuel *Amazon Connect Administrator Guide*.
## [Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Connect::Instance`
**Règle AWS Config :** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance Amazon Connect est configurée pour générer et stocker des journaux de flux dans un groupe de CloudWatch journaux Amazon. Le contrôle échoue si l'instance Amazon Connect n'est pas configurée pour générer et stocker des journaux de flux dans un groupe de CloudWatch journaux.
Les journaux de flux Amazon Connect fournissent des informations en temps réel sur les événements des flux Amazon Connect. Un *flux* définit l'expérience client avec un centre de contact Amazon Connect du début à la fin. Par défaut, lorsque vous créez une nouvelle instance Amazon Connect, un groupe de CloudWatch journaux Amazon est créé automatiquement pour stocker les journaux de flux de l'instance. Les journaux de flux peuvent vous aider à analyser les flux, à détecter les erreurs et à surveiller les indicateurs opérationnels. Vous pouvez également configurer des alertes pour des événements spécifiques susceptibles de se produire dans un flux.
### Correction
Pour plus d'informations sur l'activation des journaux de flux pour une instance Amazon Connect, consultez la section [Activer les journaux de flux Amazon Connect dans un groupe de CloudWatch journaux](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) *Amazon dans le guide de l'administrateur Amazon Connect*.
# Contrôles Security Hub CSPM pour Amazon Data Firehose
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon Data Firehose.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::KinesisFirehose::DeliveryStream`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un flux de diffusion Amazon Data Firehose est chiffré au repos avec un chiffrement côté serveur. Ce contrôle échoue si un flux de diffusion Firehose n'est pas chiffré au repos avec un chiffrement côté serveur.
Le chiffrement côté serveur est une fonctionnalité des flux de diffusion d'Amazon Data Firehose qui chiffre automatiquement les données avant qu'elles ne soient inactives à l'aide d'une clé créée dans (). AWS Key Management Service AWS KMS Les données sont chiffrées avant d'être écrites dans la couche de stockage du flux Data Firehose, et déchiffrées une fois extraites du stockage. Cela vous permet de respecter les exigences réglementaires et de renforcer la sécurité de vos données.
### Correction
*Pour activer le chiffrement côté serveur sur les flux de diffusion Firehose, consultez la section [Protection des données dans Amazon Data Firehose dans le manuel Amazon Data Firehose Developer](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) Guide.*
# Contrôles Security Hub CSPM pour AWS Database Migration Service
Ces AWS Security Hub CSPM contrôles évaluent le AWS Database Migration Service (AWS DMS) et les AWS DMS ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les instances de AWS DMS réplication sont publiques. Pour ce faire, il examine la valeur du `PubliclyAccessible` champ.
Une instance de réplication privée possède une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit avoir une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté au VPC de l'instance de réplication à l'aide d'un VPN Direct Connect, ou d'un peering VPC. Pour en savoir plus sur les instances de réplication publiques et privées, consultez la section [Instances de réplication publiques et privées](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) dans le *Guide de AWS Database Migration Service l'utilisateur*.
Vous devez également vous assurer que l'accès à la configuration de votre AWS DMS instance est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs afin de modifier AWS DMS les paramètres et les ressources.
### Correction
Vous ne pouvez pas modifier le paramètre d'accès public d'une instance de réplication DMS après l'avoir créée. Pour modifier le paramètre d'accès public, [supprimez votre instance actuelle](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html), puis [recréez-la.](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html) Ne sélectionnez pas l'option **Accessible au public**.
## [DMS.2] Les certificats DMS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::Certificate`
**AWS Config règle :** `tagged-dms-certificate` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS DMS certificat comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un certificat DMS, consultez la section [Ressources relatives au balisage AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le Guide de l'*AWS Database Migration Service utilisateur*.
## [DMS.3] Les abonnements aux événements DMS doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::EventSubscription`
**AWS Config règle :** `tagged-dms-eventsubscription` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un abonnement à un AWS DMS événement comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'abonnement à l'événement ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'abonnement à l'événement n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un abonnement à un événement DMS, consultez les [ressources de balisage AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le guide de l'*AWS Database Migration Service utilisateur*.
## [DMS.4] Les instances de réplication DMS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**AWS Config règle :** `tagged-dms-replicationinstance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une instance de AWS DMS réplication possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'instance de réplication ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de réplication n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une instance de réplication DMS, consultez la section [Ressources de balisage AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le Guide de l'*AWS Database Migration Service utilisateur*.
## [DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::ReplicationSubnetGroup`
**AWS Config règle :** `tagged-dms-replicationsubnetgroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un groupe de sous-réseaux de AWS DMS réplication possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le groupe de sous-réseaux de réplication ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de réplication n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un groupe de sous-réseaux de réplication DMS, consultez la section [Marquage des ressources AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le Guide de l'AWS Database Migration Service utilisateur.*
## [DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour une instance de AWS DMS réplication. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour une instance de réplication DMS.
DMS fournit une mise à niveau automatique des versions mineures de chaque moteur de réplication pris en charge afin que vous puissiez conserver votre instance up-to-date de réplication. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les instances de réplication DMS, les mises à niveau mineures sont appliquées automatiquement pendant la période de maintenance ou immédiatement si l'**option Appliquer les modifications immédiatement est sélectionnée**.
### Correction
Pour activer la mise à niveau automatique des versions mineures sur les instances de réplication DMS, reportez-vous à la section [Modification d'une instance de réplication](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) dans le *Guide de AWS Database Migration Service l'utilisateur*.
## [DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationTask`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de `LOGGER_SEVERITY_DEFAULT` pour les tâches de réplication DMS `TARGET_APPLY` et`TARGET_LOAD`. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur à`LOGGER_SEVERITY_DEFAULT`.
DMS utilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
+ `TARGET_APPLY` : les données et les instructions DDL sont appliquées à la base de données cible.
+ `TARGET_LOAD` : les données sont chargées dans la base de données cible.
La journalisation joue un rôle essentiel dans les tâches de réplication DMS en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que `DEFAULT` sont rarement nécessaires pour ces composants lors du dépannage. Nous vous recommandons de conserver le même niveau de journalisation que `DEFAULT` pour ces composants, sauf demande spécifique de le modifier par Support. Un niveau de journalisation minimal de `DEFAULT` garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : `LOGGER_SEVERITY_DEFAULT``LOGGER_SEVERITY_DEBUG`, ou`LOGGER_SEVERITY_DETAILED_DEBUG`.
### Correction
Pour activer la journalisation des tâches de réplication DMS de la base de données cible, reportez-vous à la section [Affichage et gestion des journaux des AWS DMS tâches](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) dans le *Guide de AWS Database Migration Service l'utilisateur*.
## [DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationTask`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de `LOGGER_SEVERITY_DEFAULT` pour les tâches de réplication DMS `SOURCE_CAPTURE` et`SOURCE_UNLOAD`. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur à`LOGGER_SEVERITY_DEFAULT`.
DMS utilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
+ `SOURCE_CAPTURE`— Les données de réplication ou de capture des données de modification (CDC) en cours sont capturées à partir de la base de données ou du service source et transmises au composant de `SORTER` service.
+ `SOURCE_UNLOAD`— Les données sont déchargées de la base de données ou du service source pendant le chargement complet.
La journalisation joue un rôle essentiel dans les tâches de réplication DMS en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que `DEFAULT` sont rarement nécessaires pour ces composants lors du dépannage. Nous vous recommandons de conserver le même niveau de journalisation que `DEFAULT` pour ces composants, sauf demande spécifique de le modifier par Support. Un niveau de journalisation minimal de `DEFAULT` garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : `LOGGER_SEVERITY_DEFAULT``LOGGER_SEVERITY_DEBUG`, ou`LOGGER_SEVERITY_DETAILED_DEBUG`.
### Correction
Pour activer la journalisation des tâches de réplication DMS de la base de données source, reportez-vous à la section [Affichage et gestion des journaux des AWS DMS tâches](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) dans le *Guide de AWS Database Migration Service l'utilisateur*.
## [DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison utilise une connexion SSL. Le contrôle échoue si le terminal n'utilise pas le protocole SSL.
Les connexions SSL/TLS fournissent une couche de sécurité en chiffrant les connexions entre les instances de réplication DMS et votre base de données. L'utilisation de certificats fournit un niveau de sécurité supplémentaire en validant que la connexion est établie avec la base de données attendue. Pour ce faire, il vérifie le certificat de serveur qui est automatiquement installé sur toutes les instances de base de données que vous provisionnez. En activant la connexion SSL sur vos terminaux DMS, vous protégez la confidentialité des données pendant la migration.
### Correction
Pour ajouter une connexion SSL à un point de terminaison DMS nouveau ou existant, consultez la section [Utilisation du protocole SSL AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) dans le *guide de l'AWS Database Migration Service utilisateur*.
## [DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune
**Exigences associées :** NIST.800-53.r5 AC-2,,, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour une base de données Amazon Neptune est configuré avec l'autorisation IAM. Le contrôle échoue si l'autorisation IAM n'est pas activée sur le point de terminaison DMS.
Gestion des identités et des accès AWS (IAM) fournit un contrôle d'accès précis sur l'ensemble du site. AWS Avec IAM, vous pouvez spécifier qui peut accéder à quels services et ressources, et dans quelles conditions. Avec les politiques IAM, vous gérez les autorisations accordées à votre personnel et à vos systèmes afin de garantir les autorisations du moindre privilège. En activant l'autorisation IAM sur les AWS DMS points de terminaison des bases de données Neptune, vous pouvez accorder des privilèges d'autorisation aux utilisateurs IAM en utilisant un rôle de service spécifié par le paramètre. `ServiceAccessRoleARN`
### Correction
*Pour activer l'autorisation IAM sur les points de terminaison DMS pour les bases de données Neptune, consultez la section Utilisation d'[Amazon Neptune comme](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html) cible dans le guide de l'utilisateur. AWS Database Migration ServiceAWS Database Migration Service *
## [DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé
**Exigences connexes :** NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour MongoDB est configuré avec un mécanisme d'authentification. Le contrôle échoue si aucun type d'authentification n'est défini pour le point de terminaison.
AWS Database Migration Service prend en charge deux méthodes d'authentification pour MongoDB **:** MONGODB-CR pour MongoDB version 2.x **et** SCRAM-SHA-1 pour MongoDB version 3.x ou ultérieure. Ces méthodes d'authentification sont utilisées pour authentifier et chiffrer les mots de passe MongoDB si les utilisateurs souhaitent utiliser les mots de passe pour accéder aux bases de données. L'authentification sur les AWS DMS terminaux garantit que seuls les utilisateurs autorisés peuvent accéder aux données migrées entre les bases de données et les modifier. Sans authentification appropriée, les utilisateurs non autorisés peuvent accéder à des données sensibles pendant le processus de migration. Cela peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
### Correction
*Pour activer un mécanisme d'authentification sur les points de terminaison DMS pour MongoDB, consultez la section Utilisation de [MongoDB comme source dans le guide de l'utilisateur](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html). AWS DMSAWS Database Migration Service *
## [DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS
**Exigences connexes :** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour Redis OSS est configuré avec une connexion TLS. Le contrôle échoue si le protocole TLS n'est pas activé sur le terminal.
Le protocole TLS assure end-to-end la sécurité lorsque des données sont envoyées entre des applications ou des bases de données via Internet. Lorsque vous configurez le cryptage SSL pour votre point de terminaison DMS, il permet une communication cryptée entre les bases de données source et cible pendant le processus de migration. Cela permet d'empêcher l'écoute et l'interception de données sensibles par des acteurs malveillants. Sans cryptage SSL, il est possible d'accéder à des données sensibles, ce qui peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
### Correction
*Pour activer une connexion TLS sur les points de terminaison DMS pour Redis, consultez la section [Utilisation de Redis comme cible dans le guide de l'utilisateur AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html).AWS Database Migration Service *
## [DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de réplication AWS Database Migration Service (AWS DMS) est configurée pour utiliser plusieurs zones de disponibilité (déploiement multi-AZ). Le contrôle échoue si l'instance de AWS DMS réplication n'est pas configurée pour utiliser un déploiement multi-AZ.
Dans un déploiement multi-AZ, AWS DMS provisionne et gère automatiquement une réplique de secours d'une instance de réplication dans une autre zone de disponibilité (AZ). L'instance de réplication principale est ensuite répliquée de manière synchrone sur la réplique de secours. Si l'instance de réplication principale échoue ou ne répond plus, l'instance de secours reprend toutes les tâches en cours avec une interruption minimale. Pour plus d'informations, consultez la section [Utilisation d'une instance de réplication](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) dans le *Guide de AWS Database Migration Service l'utilisateur*.
### Correction
Après avoir créé une instance de AWS DMS réplication, vous pouvez modifier le paramètre de déploiement multi-AZ correspondant à celle-ci. Pour plus d'informations sur la modification de ce paramètre et d'autres paramètres pour une instance de réplication existante, consultez la section [Modification d'une instance de réplication](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) dans le *Guide de AWS Database Migration Service l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS DataSync
Ces contrôles CSPM du Security Hub évaluent le AWS DataSync service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DataSync.1] la journalisation DataSync des tâches doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::DataSync::Task`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour une AWS DataSync tâche. Le contrôle échoue si la journalisation n'est pas activée pour la tâche.
Les journaux d'audit suivent et surveillent les activités du système. Ils fournissent un enregistrement des événements qui peut vous aider à détecter les failles de sécurité, à enquêter sur les incidents et à vous conformer aux réglementations. Les journaux d'audit améliorent également la responsabilité globale et la transparence de votre organisation.
### Correction
Pour plus d'informations sur la configuration de la journalisation AWS DataSync des tâches, consultez la section [Surveillance des transferts de données avec Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) dans le *guide de AWS DataSync l'utilisateur*.
## [DataSync.2] DataSync les tâches doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DataSync::Task`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 2 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS DataSync tâche possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la tâche ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une AWS DataSync tâche, consultez la section [Marquage de vos AWS DataSync tâches](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) dans le *guide de l'AWS DataSync utilisateur*.
# Contrôles Security Hub CSPM pour Amazon Detective
Ce AWS Security Hub CSPM contrôle évalue le service et les ressources d'Amazon Detective. Il se peut que le contrôle ne soit pas disponible du tout Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Detective.1] Les graphes de comportement des détectives doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Detective::Graph`
**AWS Config règle :** `tagged-detective-graph` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un graphe de comportement d'Amazon Detective possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le graphe de comportement ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le graphe de comportement n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un graphe de comportement de Detective, consultez la section [Ajouter des balises à un graphe de comportement](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) dans le *guide d'administration d'Amazon Detective*.
# Contrôles CSPM de Security Hub pour Amazon DocumentDB
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon DocumentDB (compatible avec MongoDB). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB est chiffré au repos. Le contrôle échoue si un cluster Amazon DocumentDB n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données des clusters Amazon DocumentDB doivent être chiffrées au repos pour renforcer la sécurité. Amazon DocumentDB utilise la norme de chiffrement avancée 256 bits (AES-256) pour chiffrer vos données à l'aide des clés de chiffrement stockées dans (). AWS Key Management Service AWS KMS
### Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster Amazon DocumentDB. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section [Activation du chiffrement au repos pour un cluster Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) dans le manuel du développeur *Amazon DocumentDB*.
## [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate
**Exigences connexes :** NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Durée minimale de conservation des sauvegardes en jours | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si la période de rétention des sauvegardes d'un cluster Amazon DocumentDB est supérieure ou égale à la période spécifiée. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters Amazon DocumentDB, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données. Dans Amazon DocumentDB, la période de conservation des sauvegardes par défaut des clusters est d'un jour. Ce délai doit être porté à une valeur comprise entre 7 et 35 jours pour passer ce contrôle.
### Correction
Pour modifier la période de conservation des sauvegardes pour vos clusters Amazon DocumentDB, consultez la section [Modification d'un cluster Amazon DocumentDB dans le manuel du développeur](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) Amazon *DocumentDB*. Pour **Backup**, choisissez la période de conservation des sauvegardes.
## [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané de cluster manuel Amazon DocumentDB est public. Le contrôle échoue si l'instantané manuel du cluster est public.
Un instantané de cluster manuel Amazon DocumentDB ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré en tant que public, l'instantané est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
**Note**
Ce contrôle évalue les instantanés manuels du cluster. Vous ne pouvez pas partager un instantané de cluster automatisé Amazon DocumentDB. Toutefois, vous pouvez créer un instantané manuel en copiant le cliché automatique, puis en partageant la copie.
### Correction
Pour supprimer l'accès public aux instantanés de cluster manuels Amazon DocumentDB, consultez la section [Partage d'un instantané](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) dans le manuel *Amazon* DocumentDB Developer Guide. Par programmation, vous pouvez utiliser l'opération Amazon DocumentDB. `modify-db-snapshot-attribute` Définissez `attribute-name` comme `restore` et `values-to-remove` comme`all`.
## [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster ne publie pas les journaux d'audit dans CloudWatch Logs.
Amazon DocumentDB (compatible avec MongoDB) vous permet d'auditer les événements qui ont été effectués dans votre cluster. Les exemples d'événements enregistrés incluent les tentatives d'authentification réussies et celles ayant échoué, la suppression d'une collection dans une base de données ou la création d'un index. Par défaut, l'audit est désactivé dans Amazon DocumentDB et nécessite que vous preniez des mesures pour l'activer.
### Correction
Pour publier les journaux d'audit Amazon DocumentDB dans Logs, consultez la CloudWatch section [Activation de l'audit](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) dans le manuel *Amazon DocumentDB Developer* Guide.
## [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur un cluster Amazon DocumentDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur le cluster.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster Amazon DocumentDB ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir. La protection contre la suppression est activée par défaut lorsque vous créez un cluster dans la console Amazon DocumentDB.
### Correction
Pour activer la protection contre la suppression pour un cluster Amazon DocumentDB existant, consultez la section [Modification d'un cluster Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) dans le manuel du développeur Amazon *DocumentDB*. Dans la section **Modifier le cluster**, choisissez **Activer** la **protection contre la suppression**.
## [DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** `excludeTlsParameters` :`disabled`, `enabled` (non personnalisable)
Cela permet de vérifier si un cluster Amazon DocumentDB nécessite le protocole TLS pour les connexions au cluster. Le contrôle échoue si le groupe de paramètres de cluster associé au cluster n'est pas synchronisé ou si le paramètre de cluster TLS est défini sur `disabled` ou`enabled`.
Vous pouvez utiliser le protocole TLS pour chiffrer la connexion entre une application et un cluster Amazon DocumentDB. L'utilisation du protocole TLS peut aider à protéger les données contre toute interception lorsqu'elles sont en transit entre une application et un cluster Amazon DocumentDB. Le chiffrement en transit pour un cluster Amazon DocumentDB est géré à l'aide du paramètre TLS dans le groupe de paramètres du cluster associé au cluster. Lorsque le chiffrement en transit est activé, des connexions sécurisées à l'aide de TLS sont nécessaires pour se connecter au cluster. Nous vous recommandons d'utiliser les paramètres TLS suivants : `tls1.2+``tls1.3+`, et`fips-140-3`.
### Correction
Pour plus d'informations sur la modification des paramètres TLS d'un cluster Amazon DocumentDB, [consultez la section Chiffrement des données en transit dans le](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) manuel Amazon *DocumentDB* Developer Guide.
# Contrôles CSPM du Security Hub pour DynamoDB
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon DynamoDB. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées valides | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minProvisionedReadCapacity` | Nombre minimal d'unités de capacité de lecture allouées pour le dimensionnement automatique de DynamoDB | Entier | `1` sur `40000` | Aucune valeur par défaut |
| `targetReadUtilization` | Pourcentage d'utilisation cible de la capacité de lecture | Entier | `20` sur `90` | Aucune valeur par défaut |
| `minProvisionedWriteCapacity` | Nombre minimal d'unités de capacité d'écriture allouées pour le dimensionnement automatique de DynamoDB | Entier | `1` sur `40000` | Aucune valeur par défaut |
| `targetWriteUtilization` | Pourcentage d'utilisation cible de la capacité d'écriture | Entier | `20` sur `90` | Aucune valeur par défaut |
Ce contrôle vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture selon les besoins. Le contrôle échoue si la table n'utilise pas le mode capacité à la demande ou le mode provisionné avec mise à l'échelle automatique configurée. Par défaut, ce contrôle nécessite uniquement la configuration de l'un de ces modes, sans tenir compte des niveaux spécifiques de capacité de lecture ou d'écriture. Vous pouvez éventuellement fournir des valeurs de paramètres personnalisées pour exiger des niveaux spécifiques de capacité de lecture et d'écriture ou un taux d'utilisation cible.
L'adaptation de la capacité à la demande permet d'éviter de limiter les exceptions, ce qui permet de maintenir la disponibilité de vos applications. Les tables DynamoDB qui utilisent le mode de capacité à la demande sont limitées uniquement par les quotas de table par défaut du débit DynamoDB. Pour augmenter ces quotas, vous pouvez déposer un ticket d'assistance auprès de Support. Les tables DynamoDB qui utilisent le mode provisionné avec mise à l'échelle automatique ajustent dynamiquement la capacité de débit allouée en fonction des modèles de trafic. *Pour plus d'informations sur la limitation des demandes DynamoDB, [consultez la section Limitation des demandes et capacité de rafale dans le manuel du développeur](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) Amazon DynamoDB.*
### Correction
*Pour activer le dimensionnement automatique de DynamoDB sur des tables existantes en mode capacité, consultez la section Activation du dimensionnement automatique de [DynamoDB sur des tables existantes dans le manuel Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable) Developer Guide.*
## [DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la point-in-time restauration (PITR) est activée pour une table Amazon DynamoDB.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. La restauration point-in-time DynamoDB automatise les sauvegardes des tables DynamoDB. Cela réduit le temps de restauration suite à des opérations de suppression ou d'écriture accidentelles. Les tables DynamoDB sur lesquelles le PITR est activé peuvent être restaurées à tout moment au cours des 35 derniers jours.
### Correction
*Pour restaurer une table DynamoDB à un point dans le temps, consultez la section [Restauration d'une table DynamoDB à un moment donné dans le manuel Amazon DynamoDB Developer Guide](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html).*
## [DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::DAX::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator (DAX) est chiffré au repos. Le contrôle échoue si le cluster DAX n'est pas chiffré au repos.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Le chiffrement ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.
### Correction
Vous ne pouvez pas activer ou désactiver le chiffrement au repos après la création d'un cluster. Vous devez recréer le cluster afin d'activer le chiffrement au repos. Pour obtenir des instructions détaillées sur la création d'un cluster DAX avec le chiffrement au repos activé, consultez la section [Activation du chiffrement au repos à l'aide du AWS Management Console](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) manuel du développeur *Amazon DynamoDB*.
## [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Le contrôle produit un `PASSED` résultat si le paramètre est défini sur Vault Lock `true` et si la ressource utilise AWS Backup Vault Lock. | Booléen | `true` ou `false` | Aucune valeur par défaut |
Ce contrôle évalue si une `ACTIVE` table Amazon DynamoDB en cours est couverte par un plan de sauvegarde. Le contrôle échoue si la table DynamoDB n'est pas couverte par un plan de sauvegarde. Si vous définissez le `backupVaultLockCheck` paramètre égal à`true`, le contrôle est transmis uniquement si la table DynamoDB est sauvegardée dans AWS Backup un coffre verrouillé.
AWS Backup est un service de sauvegarde entièrement géré qui vous aide à centraliser et à automatiser la sauvegarde des données entre tous Services AWS. Vous pouvez ainsi créer des plans de sauvegarde qui définissent vos besoins en matière de sauvegarde, tels que la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. AWS Backup L'inclusion de tables DynamoDB dans vos plans de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
### Correction
*Pour ajouter une table DynamoDB à AWS Backup un plan de sauvegarde, [consultez la section Affectation de ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le Guide du développeur.AWS Backup *
## [DynamoDB.5] Les tables DynamoDB doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DynamoDB::Table`
**AWS Config règle :** `tagged-dynamodb-table` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une table Amazon DynamoDB possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la table ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à une table DynamoDB, [consultez la section Marquage des ressources dans DynamoDB dans](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) le manuel du développeur Amazon DynamoDB.*
## [DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur une table Amazon DynamoDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une table DynamoDB.
Vous pouvez protéger une table DynamoDB contre toute suppression accidentelle à l'aide de la propriété de protection contre la suppression. L'activation de cette propriété pour les tables permet de garantir que les tables ne sont pas supprimées accidentellement lors des opérations de gestion des tables régulières effectuées par vos administrateurs. Cela permet d'éviter toute interruption de vos activités commerciales normales.
### Correction
Pour activer la protection contre la suppression pour une table DynamoDB, [consultez la section Utilisation de la protection contre la suppression](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) dans le manuel Amazon *DynamoDB* Developer Guide.
## [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
**Exigences connexes :** NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::DAX::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator (DAX) est chiffré en transit, le type de chiffrement du point de terminaison étant défini sur TLS. Le contrôle échoue si le cluster DAX n'est pas chiffré pendant le transit.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Vous devez uniquement autoriser les connexions chiffrées via TLS pour accéder aux clusters DAX. Toutefois, le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec le chiffrement activé pour comprendre le profil de performance et l'impact du protocole TLS.
### Correction
Vous ne pouvez pas modifier le paramètre de chiffrement TLS après avoir créé un cluster DAX. Pour chiffrer un cluster DAX existant, créez un nouveau cluster avec le chiffrement en transit activé, transférez le trafic de votre application vers celui-ci, puis supprimez l'ancien cluster. Pour plus d’informations, consultez [Utilisation de la protection contre la suppression](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) dans le *Guide du développeur Amazon DynamoDB*.
# Contrôles Security Hub CSPM pour Amazon EC2
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Elastic Compute Cloud (Amazon EC2). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. Le contrôle échoue si les instantanés Amazon EBS peuvent être restaurés par n'importe qui.
Les instantanés EBS sont utilisés pour sauvegarder les données de vos volumes EBS sur Amazon S3 à un moment précis. Vous pouvez utiliser les instantanés pour restaurer les états précédents des volumes EBS. Il est rarement acceptable de partager un instantané avec le public. Généralement, la décision de partager un instantané publiquement a été prise par erreur ou sans une compréhension complète des implications. Cette vérification permet de s'assurer que tout ce partage a été entièrement planifié et intentionnel.
### Correction
Pour rendre privé un instantané EBS public, consultez la section [Partager un instantané](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) dans le guide de l'*utilisateur Amazon EC2*. Pour **Actions, Modifier les autorisations**, choisissez **Privé**.
## [EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS Foundations Benchmark v3.0.0/5.4, (21), (11), (16), (21) AWS , (21), (4), (5) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le groupe de sécurité par défaut d'un VPC autorise le trafic entrant ou sortant. Le contrôle échoue si le groupe de sécurité autorise le trafic entrant ou sortant.
Les règles du [groupe de sécurité par défaut](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) autorisent tout le trafic sortant et entrant à partir d’interfaces réseau (et de leurs instances associées) affectées au même groupe de sécurité. Nous vous recommandons de ne pas utiliser le groupe de sécurité par défaut. Étant donné que le groupe de sécurité par défaut ne peut pas être supprimé, vous devez modifier le paramètre des règles de groupe de sécurité par défaut pour restreindre le trafic entrant et sortant. Vous empêchez ainsi le trafic non prévu, si le groupe de sécurité par défaut est accidentellement configuré pour des ressources telles que les instances EC2.
### Correction
Pour remédier à ce problème, commencez par créer de nouveaux groupes de sécurité dotés du moindre privilège. Pour obtenir des instructions, consultez la section [Créer un groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) dans le guide de l'*utilisateur Amazon VPC*. Attribuez ensuite les nouveaux groupes de sécurité à vos instances EC2. Pour obtenir des instructions, consultez [Modifier le groupe de sécurité d'une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) dans le guide de l'*utilisateur Amazon EC2*.
Après avoir attribué les nouveaux groupes de sécurité à vos ressources, supprimez toutes les règles entrantes et sortantes des groupes de sécurité par défaut. Pour obtenir des instructions, consultez la section [Configurer les règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) dans le *guide de l'utilisateur Amazon VPC*.
## [EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Volume`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie que les volumes EBS attachés sont chiffrés. Pour réussir cette vérification, les volumes EBS doivent être en cours d'utilisation et chiffrés. Si le volume EBS n'est pas attaché, il ne fait pas partie de la portée de cette vérification.
Pour une couche supplémentaire de sécurité de vos données sensibles dans les volumes EBS, vous devez activer le chiffrement EBS au repos. Le chiffrement Amazon EBS offre une solution simple de chiffrement pour vos ressources EBS, qui n'exige pas de développer, contrôler ni sécuriser votre propre infrastructure de gestion de clés. Il utilise des clés KMS lors de la création de volumes chiffrés et de snapshots.
Pour en savoir plus sur le chiffrement Amazon EBS, consultez le [manuel Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) *EC2 User Guide*.
### Correction
Il n'existe aucun moyen direct de chiffrer un volume ou un instantané non chiffré existant. Vous pouvez uniquement chiffrer un nouveau volume ou instantané lorsque vous le créez.
Si vous avez activé le chiffrement par défaut, Amazon EBS chiffre le nouveau volume ou instantané obtenu à l'aide de votre clé par défaut pour le chiffrement Amazon EBS. Même si vous n'avez pas activé le chiffrement par défaut, vous pouvez activer le chiffrement lorsque vous créez un volume ou un instantané spécifique. Dans les deux cas, vous pouvez remplacer la clé par défaut pour le chiffrement Amazon EBS et choisir une clé symétrique gérée par le client.
Pour plus d'informations, consultez les sections [Création d'un volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) et [Copie d'un instantané Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier - Inventaire
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `AllowedDays` | Nombre de jours pendant lesquels l'instance EC2 est autorisée à être arrêtée avant de générer un échec de recherche. | Entier | `1` sur `365` | `30` |
Ce contrôle vérifie si une instance Amazon EC2 a été arrêtée pendant plus de jours que le nombre de jours autorisé. Le contrôle échoue si une instance EC2 est arrêtée pendant une durée supérieure à la période maximale autorisée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période maximale autorisée, Security Hub CSPM utilise une valeur par défaut de 30 jours.
Lorsqu'une instance EC2 n'est pas exécutée pendant une longue période, cela crée un risque de sécurité car l'instance n'est pas activement maintenue (analysée, corrigée, mise à jour). S'il est lancé ultérieurement, l'absence de maintenance appropriée peut entraîner des problèmes inattendus dans votre AWS environnement. Pour maintenir en toute sécurité une instance EC2 dans un état inactif au fil du temps, démarrez-la régulièrement pour la maintenance, puis arrêtez-la après la maintenance. Idéalement, il devrait s'agir d'un processus automatisé.
### Correction
Pour mettre fin à une instance EC2 inactive, consultez la section [Résiliation d'une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) dans le guide de l'*utilisateur Amazon EC2.*
## [EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.R2 3.3.1, NIST.800-171.R2 3.13.1 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS v3.2.2 1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6 AWS
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPC`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `trafficType`: `REJECT` (non personnalisable)
Ce contrôle vérifie si les journaux de flux Amazon VPC sont trouvés et activés. VPCs Le type de trafic est défini sur`Reject`. Le contrôle échoue si les journaux de flux VPC ne sont pas activés VPCs dans votre compte.
**Note**
Ce contrôle ne vérifie pas si les journaux de flux Amazon VPC sont activés via Amazon Security Lake pour le. Compte AWS
Grâce à la fonctionnalité VPC Flow Logs, vous pouvez capturer des informations sur le trafic d'adresses IP à destination et en provenance des interfaces réseau de votre VPC. Après avoir créé un journal de flux, vous pouvez consulter et récupérer ses données dans CloudWatch Logs. Pour réduire les coûts, vous pouvez également envoyer vos journaux de flux vers Amazon S3.
Security Hub CSPM vous recommande d'activer la journalisation des flux pour les rejets de paquets pour. VPCs Les journaux de flux fournissent une visibilité sur le trafic réseau qui traverse le VPC et peuvent détecter le trafic anormal ou fournir des informations lors des flux de travail de sécurité.
Par défaut, l'enregistrement inclut des valeurs pour les différents composants du flux d'adresses IP, notamment la source, la destination et le protocole. Pour plus d'informations et une description des champs de journal, consultez la section [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dans le guide de l'utilisateur Amazon *VPC*.
### Correction
Pour créer un journal de flux VPC, consultez la section [Créer un journal de flux dans le guide](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) de l'utilisateur Amazon *VPC*. **Après avoir ouvert la console Amazon VPC, choisissez Your. VPCs** Pour **Filtrer**, choisissez **Rejeter** ou **Tout**.
## [EC2.7] Le chiffrement par défaut EBS doit être activé
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 AWS SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement au niveau du compte est activé par défaut pour les volumes Amazon Elastic Block Store (Amazon EBS). Le contrôle échoue si le chiffrement au niveau du compte n'est pas activé pour les volumes EBS.
Lorsque le chiffrement est activé pour votre compte, les volumes Amazon EBS et les copies instantanées sont chiffrés au repos. Cela ajoute un niveau de protection supplémentaire à vos données. Pour plus d’informations, consultez la section [Chiffrement par défaut](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dans le *Guide de l’utilisateur Amazon EC2*.
### Correction
Pour configurer le chiffrement par défaut pour les volumes Amazon EBS, consultez la section [Chiffrement par défaut](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-6
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la version des métadonnées de votre instance EC2 est configurée avec le service de métadonnées d'instance version 2 (IMDSv2). Le contrôle passe s'il `HttpTokens` est défini sur obligatoire pour IMDSv2. Le contrôle échoue s'il `HttpTokens` est défini sur`optional`.
Vous utilisez les métadonnées de l'instance pour configurer ou gérer l'instance en cours d'exécution. L'IMDS donne accès à des informations d'identification temporaires fréquemment renouvelées. Ces informations d'identification éliminent le besoin de coder en dur ou de distribuer des informations d'identification sensibles aux instances manuellement ou par programmation. L'IMDS est attaché localement à chaque instance EC2. Il fonctionne sur une adresse IP spéciale « lien local » 169.254.169.254. Cette adresse IP n'est accessible que par le logiciel qui s'exécute sur l'instance.
La version 2 de l'IMDS ajoute de nouvelles protections pour les types de vulnérabilités suivants. Ces vulnérabilités pourraient être utilisées pour tenter d'accéder à l'IMDS.
+ Pare-feu pour applications de sites Web ouverts
+ Proxies inverses ouverts
+ Vulnérabilités de falsification de requêtes côté serveur (SSRF)
+ Pare-feux de couche 3 ouverts et traduction d'adresses réseau (NAT)
Security Hub CSPM vous recommande de configurer vos instances EC2 avec. IMDSv2
### Correction
Pour configurer les instances EC2 avec IMDSv2, consultez la section [Chemin recommandé pour exiger IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) dans le guide de l'*utilisateur Amazon EC2.*
## [EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse publique IPv4
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances EC2 possèdent une adresse IP publique. Le contrôle échoue si le `publicIp` champ est présent dans l'élément de configuration de l'instance EC2. Ce contrôle s'applique uniquement aux IPv4 adresses.
Une adresse IPv4 publique est une adresse IP accessible depuis Internet. Si vous lancez votre instance avec une adresse IP publique, votre instance EC2 est accessible depuis Internet. Une adresse IPv4 privée est une adresse IP qui n'est pas accessible depuis Internet. Vous pouvez utiliser des adresses IPv4 privées pour la communication entre les instances EC2 d'un même VPC ou de votre réseau privé connecté.
IPv6 les adresses sont uniques au monde et sont donc accessibles depuis Internet. Cependant, par défaut, tous les sous-réseaux ont l'attribut d' IPv6 adressage défini sur false. Pour plus d'informations IPv6, consultez la section [Adressage IP dans votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) dans le guide de l'utilisateur Amazon *VPC*.
Si vous avez un cas d'utilisation légitime pour gérer des instances EC2 avec des adresses IP publiques, vous pouvez supprimer les résultats de ce contrôle. Pour plus d'informations sur les options d'architecture frontale, consultez le [blog sur AWS l'architecture](https://aws.amazon.com/blogs/architecture/) ou la [série de AWS vidéos This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).
### Correction
Utilisez un VPC autre que celui par défaut afin qu'aucune adresse IP publique ne soit attribuée par défaut à votre instance.
Lorsque vous lancez une instance EC2 dans un VPC par défaut, une adresse IP publique lui est attribuée. Lorsque vous lancez une instance EC2 dans un VPC autre que celui par défaut, la configuration du sous-réseau détermine si elle reçoit une adresse IP publique. Le sous-réseau possède un attribut permettant de déterminer si les nouvelles instances EC2 du sous-réseau reçoivent une adresse IP publique du pool d'adresses publiques IPv4 .
Vous pouvez dissocier une adresse IP publique attribuée automatiquement de votre instance EC2. Pour plus d'informations, consultez la section [ IPv4 Adresses publiques et noms d'hôte DNS externes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) dans le guide de l'*utilisateur Amazon EC2.*
## [EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.13.1 NIST.800-53.r5 SC-7
**Catégorie :** Protection > Configuration réseau sécurisée > Accès privé à l'API
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPC`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `serviceName`: `ec2` (non personnalisable)
Ce contrôle vérifie si un point de terminaison de service pour Amazon EC2 est créé pour chaque VPC. Le contrôle échoue si aucun point de terminaison VPC n'a été créé pour le service Amazon EC2 pour le service Amazon EC2.
Ce contrôle évalue les ressources dans un seul compte. Il ne peut pas décrire les ressources extérieures au compte. Étant donné que AWS Config Security Hub CSPM n'effectue pas de vérifications entre comptes, vous constaterez VPCs que `FAILED` les résultats seront partagés entre les comptes. Security Hub CSPM vous recommande de supprimer ces `FAILED` résultats.
Pour améliorer le niveau de sécurité de votre VPC, vous pouvez configurer Amazon EC2 pour utiliser un point de terminaison VPC d'interface. Les points de terminaison de l'interface sont AWS PrivateLink alimentés par une technologie qui vous permet d'accéder aux opérations de l'API Amazon EC2 en privé. Il limite tout le trafic réseau entre votre VPC et Amazon EC2 vers le réseau Amazon. Comme les points de terminaison ne sont pris en charge que dans la même région, vous ne pouvez pas créer de point de terminaison entre un VPC et un service d'une région différente. Cela empêche les appels d'API Amazon EC2 involontaires vers d'autres régions.
*Pour en savoir plus sur la création de points de terminaison VPC pour Amazon EC2, consultez Amazon EC2 [et interfacez les points de terminaison VPC dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html).*
### Correction
*Pour créer un point de terminaison d'interface vers Amazon EC2 à partir de la console Amazon VPC, consultez la section Créer [un point de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le guide.AWS PrivateLink * Pour le **nom du service**, choisissez **com.amazonaws. *region*.ec2.**
Vous pouvez également créer et associer une politique de point de terminaison à votre point de terminaison VPC afin de contrôler l'accès à l'API Amazon EC2. Pour obtenir des instructions sur la création d'une politique de point de terminaison VPC, consultez la section [Créer une politique de point de terminaison](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.12] L'Amazon EIPs EC2 non utilisé doit être supprimé
**Exigences associées :** PCI DSS v3.2.1/2.4, nIST.800-53.R5 CM-8 (1)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::EIP`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les adresses IP élastiques (EIP) allouées à un VPC sont attachées à des instances EC2 ou à des interfaces réseau élastiques en cours d'utilisation (). ENIs
Un échec de recherche indique que vous n'avez peut-être pas utilisé l'EC2. EIPs
Cela vous aidera à maintenir un inventaire précis des actifs EIPs dans l'environnement de données de votre titulaire de carte (CDE).
### Correction
Pour libérer une EIP non utilisée, consultez la section [Libérer une adresse IP élastique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/4.1,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.13.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22. Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous vous recommandons de faire en sorte qu'aucun groupe de sécurité n'autorise un accès entrant sans restriction au port 22. La suppression d'une connectivité illimitée aux services de la console à distance (SSH, par exemple) réduit le risque qu'un serveur soit compromis.
### Correction
Pour interdire l'accès au port 22, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à un VPC. Pour obtenir des instructions, consultez la section [Mettre à jour les règles des groupes de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) dans le *guide de l'utilisateur Amazon EC2*. Après avoir sélectionné un groupe de sécurité dans la console Amazon EC2, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 22.
## [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la règle créée est`restricted-rdp`)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389. Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous vous recommandons de faire en sorte qu'aucun groupe de sécurité n'autorise un accès entrant sans restriction au port 3389. La suppression d'une connectivité illimitée aux services de la console à distance (RDP, par exemple) réduit le risque qu'un serveur soit compromis.
### Correction
Pour interdire l'accès au port 3389, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à un VPC. Pour obtenir des instructions, consultez la section [Mettre à jour les règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) dans le *guide de l'utilisateur Amazon VPC*. Après avoir sélectionné un groupe de sécurité dans la console Amazon VPC, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 3389.
## [EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Subnet`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un sous-réseau Amazon Virtual Private Cloud (Amazon VPC) est configuré pour attribuer automatiquement des adresses IP publiques. Le contrôle échoue si le sous-réseau est configuré pour attribuer automatiquement des IPv6 adresses publiques IPv4 ou publiques.
Les sous-réseaux possèdent des attributs qui déterminent si les interfaces réseau reçoivent automatiquement le public IPv4 et les IPv6 adresses. Pour IPv4, cet attribut est défini sur pour les sous-réseaux par défaut et `TRUE` `FALSE` pour les sous-réseaux autres que ceux par défaut (à l'exception des sous-réseaux autres que ceux par défaut créés via l'assistant de lancement d'instance EC2, où il est défini sur). `TRUE` Car IPv6, cet attribut est défini sur tous `FALSE` les sous-réseaux par défaut. Lorsque ces attributs sont activés, les instances lancées dans le sous-réseau reçoivent automatiquement les adresses IP correspondantes (IPv4 ou IPv6) sur leur interface réseau principale.
### Correction
Pour configurer un sous-réseau afin de ne pas attribuer d'adresses IP publiques, consultez [Modifier les attributs d'adressage IP de votre sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) dans le guide de l'utilisateur Amazon *VPC*.
## [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
**Exigences connexes :** NIST.800-53.R5 CM-8 (1), NIST.800-171.R2 3.4.7, PCI DSS v4.0.1/1.2.7
**Catégorie :** Protection > Sécurité du réseau
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NetworkAcl`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe des listes de contrôle d'accès réseau (réseau ACLs) non utilisées dans votre cloud privé virtuel (VPC). Le contrôle échoue si l'ACL réseau n'est pas associée à un sous-réseau. Le contrôle ne génère pas de résultats pour une ACL réseau par défaut non utilisée.
Le contrôle vérifie la configuration des éléments de la ressource `AWS::EC2::NetworkAcl` et détermine les relations entre les ACL du réseau.
Si la seule relation est le VPC de l'ACL réseau, le contrôle échoue.
Si d'autres relations sont répertoriées, le contrôle est transféré.
### Correction
Pour obtenir des instructions sur la suppression d'un ACL réseau inutilisé, consultez [Supprimer un ACL réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) dans le guide de l'*utilisateur Amazon VPC*. Vous ne pouvez pas supprimer l'ACL réseau par défaut ou une ACL associée à des sous-réseaux.
## [EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENIs
**Exigences connexes :** NIST.800-53.r5 AC-4 (21)
**Catégorie :** Protection > Sécurité du réseau
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance EC2 utilise plusieurs interfaces réseau élastiques (ENI) ou adaptateurs Elastic Fabric (EFA). Ce contrôle passe si un seul adaptateur réseau est utilisé. Le contrôle inclut une liste de paramètres facultatifs pour identifier les ENI autorisés. Ce contrôle échoue également si une instance EC2 appartenant à un cluster Amazon EKS utilise plusieurs ENI. Si vos instances EC2 doivent en avoir plusieurs dans ENIs le cadre d'un cluster Amazon EKS, vous pouvez supprimer ces résultats de contrôle.
Plusieurs ENIs peuvent entraîner des instances à double hébergement, c'est-à-dire des instances dotées de plusieurs sous-réseaux. Cela peut ajouter à la complexité de la sécurité du réseau et introduire des chemins et des accès non intentionnels au réseau.
### Correction
Pour détacher une interface réseau d'une instance EC2, consultez la section [Détacher une interface réseau d'une instance dans le guide de l'utilisateur](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) *Amazon* EC2.
## [EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1 NIST.800-53.r5 SC-7
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `authorizedTcpPorts` | Liste des ports TCP autorisés | IntegerList (minimum de 1 article et maximum de 32 articles) | `1` sur `65535` | `[80,443]` |
| `authorizedUdpPorts` | Liste des ports UDP autorisés | IntegerList (minimum de 1 article et maximum de 32 articles) | `1` sur `65535` | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise le trafic entrant sans restriction en provenance de ports non autorisés. L'état du contrôle est déterminé comme suit :
+ Si vous utilisez la valeur par défaut pour`authorizedTcpPorts`, le contrôle échoue si le groupe de sécurité autorise le trafic entrant sans restriction depuis un port autre que les ports 80 et 443.
+ Si vous fournissez des valeurs personnalisées pour `authorizedTcpPorts` ou`authorizedUdpPorts`, le contrôle échoue si le groupe de sécurité autorise un trafic entrant illimité en provenance d'un port non répertorié.
Les groupes de sécurité fournissent un filtrage dynamique du trafic réseau entrant et sortant vers. AWS Les règles des groupes de sécurité doivent respecter le principe de l'accès le moins privilégié. L'accès illimité (adresse IP avec le suffixe /0) augmente les risques d'activités malveillantes telles que le piratage, les denial-of-service attaques et la perte de données. À moins qu'un port ne soit spécifiquement autorisé, le port doit refuser un accès illimité.
### Correction
Pour modifier un groupe de sécurité, consultez la section [Travailler avec des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) dans le guide de l'*utilisateur Amazon VPC*.
## [EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Accès réseau restreint
**Gravité :** Critique
**Type de ressource :** `AWS::EC2::SecurityGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la règle créée est`vpc-sg-restricted-common-ports`)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (non personnalisable)
Ce contrôle vérifie si le trafic entrant non restreint pour un groupe de sécurité Amazon EC2 est accessible aux ports spécifiés considérés comme présentant un risque élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic entrant depuis '0.0.0.0/0' ou ': :/0' vers ces ports.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . L'accès illimité (0.0.0.0/0) augmente les risques d'activités malveillantes, telles que le piratage, les denial-of-service attaques et la perte de données. Aucun groupe de sécurité ne doit autoriser un accès d'entrée illimité aux ports suivants :
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 (POP3)
+ 135 (PIÈCE)
+ 143 (CARTE)
+ 445 (CHIFFRES)
+ 1433, 1434 (MSSQL)
+ 3000 (frameworks de développement Web Go, Node.js et Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 433 (ahsp)
+ 5000 (frameworks de développement Web en Python)
+ 5432 (postgresql)
+ 5500 (fcp-addr-srvr1)
+ 5601 (OpenSearch Tableaux de bord)
+ 8080 (proxy)
+ 8088 (ancien port HTTP)
+ 8888 (port HTTP alternatif)
+ 9200 ou 9300 () OpenSearch
### Correction
Pour supprimer des règles d'un groupe de sécurité, consultez la section [Supprimer des règles d'un groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5), NIST.800-171.R2 3.1.13, NIST.800-171.R2 3.1.20
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPNConnection`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Un tunnel VPN est un lien crypté par lequel les données peuvent passer du réseau du client vers ou AWS depuis une connexion AWS Site-to-Site VPN. Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour une haute disponibilité. Il est important de s'assurer que les deux tunnels VPN sont prêts pour une connexion VPN afin de confirmer une connexion sécurisée et hautement disponible entre un AWS VPC et votre réseau distant.
Ce contrôle vérifie que les deux tunnels VPN fournis par le AWS Site-to-Site VPN sont en état UP. Le contrôle échoue si l'un des tunnels ou les deux sont en état d'arrêt.
### Correction
Pour modifier les options du tunnel VPN, consultez la section [Modification des options du tunnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) dans le Guide de l'utilisateur du AWS Site-to-Site VPN.
## [EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS AWS Foundations Benchmark v1.4.0/5.1, CIS Foundations Benchmark v3.0.0/5.1, (21), (1), NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 CA-9 NIST.800-171.R2 3.1.3 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.13.1, PCI DSS v4.0.1/1.3.1 AWS
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::NetworkAcl`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une liste de contrôle d'accès réseau (ACL réseau) autorise un accès illimité aux ports TCP par défaut pour le trafic SSH/RDP entrant. Le contrôle échoue si l'entrée entrante de l'ACL réseau autorise un bloc CIDR source de '0.0.0.0/0' ou ': :/0' pour les ports TCP 22 ou 3389. Le contrôle ne génère pas de résultats pour une ACL réseau par défaut.
L'accès aux ports d'administration du serveur distant, tels que le port 22 (SSH) et le port 3389 (RDP), ne doit pas être accessible au public, car cela peut permettre un accès involontaire aux ressources de votre VPC.
### Correction
Pour modifier les règles de trafic réseau ACL, consultez la section [Travailler avec le réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) dans le guide de l'*utilisateur Amazon VPC*.
## [EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés
**Catégorie :** Identifier - Inventaire
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si des groupes de sécurité sont attachés à des instances Amazon Elastic Compute Cloud (Amazon EC2) ou à une interface réseau élastique. Le contrôle échoue si le groupe de sécurité n'est pas associé à une instance Amazon EC2 ou à une interface Elastic Network.
**Important**
Le 20 septembre 2023, Security Hub CSPM a retiré ce contrôle des normes AWS Foundational Security Best Practices et du NIST SP 800-53 Revision 5. Ce contrôle continue de faire partie de la norme de AWS Control Tower gestion des services. Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à des instances EC2 ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres contrôles EC2, tels que EC2.2, EC2.13, EC2.14, EC2.18 et EC2.19, pour surveiller vos groupes de sécurité.
### Correction
Pour créer, attribuer et supprimer des groupes de sécurité, consultez [la section Groupes de sécurité pour vos instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::TransitGateway`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les passerelles de transit EC2 acceptent automatiquement les pièces jointes VPC partagées. Ce contrôle échoue pour une passerelle de transit qui accepte automatiquement les demandes de pièces jointes VPC partagées.
L'activation permet de `AutoAcceptSharedAttachments` configurer une passerelle de transit pour qu'elle accepte automatiquement toutes les demandes de pièce jointe VPC entre comptes sans vérifier la demande ou le compte d'origine de la pièce jointe. Pour suivre les meilleures pratiques en matière d'autorisation et d'authentification, nous vous recommandons de désactiver cette fonctionnalité afin de garantir que seules les demandes de pièces jointes VPC autorisées sont acceptées.
### Correction
Pour modifier une passerelle de transit, consultez la section [Modifier une passerelle de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) dans le manuel Amazon VPC Developer Guide.
## [EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
**Exigences connexes :** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le type de virtualisation d'une instance EC2 est paravirtuel. Le contrôle échoue si le `virtualizationType` de l'instance EC2 est défini sur. `paravirtual`
Linux Amazon Machine Images (AMIs) utilise l'un des deux types de virtualisation suivants : machine virtuelle paravirtuelle (PV) ou machine virtuelle matérielle (HVM). Les principales différences entre le PV et le HVM AMIs résident dans la manière dont ils démarrent et dans la possibilité de tirer parti d'extensions matérielles spéciales (processeur, réseau et stockage) pour de meilleures performances.
Historiquement, les clients photovoltaïques affichaient de meilleures performances que les clients HVM dans de nombreux cas, mais en raison des améliorations apportées à la virtualisation HVM et de la disponibilité de pilotes photovoltaïques pour le HVM AMIs, cela n'est plus vrai. Pour plus d'informations, consultez la section [Types de virtualisation d'AMI Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) dans le guide de l'utilisateur Amazon EC2.
### Correction
Pour mettre à jour une instance EC2 vers un nouveau type d'instance, consultez [Modifier le type d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les modèles de lancement Amazon EC2 sont configurés pour attribuer des adresses IP publiques aux interfaces réseau lors du lancement. Le contrôle échoue si un modèle de lancement EC2 est configuré pour attribuer une adresse IP publique aux interfaces réseau ou si au moins une interface réseau possède une adresse IP publique.
Une adresse IP publique est une adresse accessible depuis Internet. Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau peuvent être accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos charges de travail.
### Correction
Pour mettre à jour un modèle de lancement EC2, consultez [Modifier les paramètres de l'interface réseau par défaut](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) dans le manuel *Amazon EC2 Auto Scaling* User Guide.
## [EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Volume`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Le contrôle produit un `PASSED` résultat si le paramètre est défini sur Vault Lock `true` et si la ressource utilise AWS Backup Vault Lock. | Booléen | `true` ou `false` | Aucune valeur par défaut |
Ce contrôle évalue si un volume Amazon EBS en cours est `in-use` couvert par un plan de sauvegarde. Le contrôle échoue si un volume EBS n'est pas couvert par un plan de sauvegarde. Si vous définissez le `backupVaultLockCheck` paramètre égal à`true`, le contrôle est transféré uniquement si le volume EBS est sauvegardé dans un coffre-fort AWS Backup verrouillé.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité. Ils renforcent également la résilience de vos systèmes. L'inclusion de volumes Amazon EBS dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
### Correction
Pour ajouter un volume Amazon EBS à un plan de AWS Backup sauvegarde, consultez la section [Affectation de ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le manuel du *AWS Backup développeur*.
## [EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TransitGatewayAttachment`
**AWS Config règle :** `tagged-ec2-transitgatewayattachment` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une pièce jointe à une passerelle de transit Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la pièce jointe à la passerelle de transit ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pièce jointe de la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une pièce jointe d'une passerelle de transit EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TransitGatewayRouteTable`
**AWS Config règle :** `tagged-ec2-transitgatewayroutetable` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une table de routage d'une passerelle de transit Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la table de routage de la passerelle de transit ne contient aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table de routage de la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à la table de routage d'une passerelle de transit EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.35] Les interfaces réseau EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NetworkInterface`
**AWS Config règle :** `tagged-ec2-networkinterface` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une interface réseau Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'interface réseau ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'interface réseau n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une interface réseau EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.36] Les passerelles client EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::CustomerGateway`
**AWS Config règle :** `tagged-ec2-customergateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle client Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle client ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle client n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle client EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.37] Les adresses IP élastiques EC2 doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::EIP`
**AWS Config règle :** `tagged-ec2-eip` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une adresse IP élastique Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'adresse IP élastique ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'adresse IP élastique n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une adresse IP élastique EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.38] Les instances EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Instance`
**AWS Config règle :** `tagged-ec2-instance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une instance Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'instance ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une instance EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.39] Les passerelles Internet EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::InternetGateway`
**AWS Config règle :** `tagged-ec2-internetgateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle Internet Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle Internet ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle Internet n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle Internet EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.40] Les passerelles NAT EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NatGateway`
**AWS Config règle :** `tagged-ec2-natgateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle de traduction d'adresses réseau (NAT) Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle NAT ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle NAT n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle NAT EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.41] Le réseau EC2 doit être étiqueté ACLs
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NetworkAcl`
**AWS Config règle :** `tagged-ec2-networkacl` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de contrôle d'accès réseau (ACL réseau) Amazon EC2 contient des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'ACL réseau ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si aucune clé n'est associée à l'ACL du réseau. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une ACL du réseau EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.42] Les tables de routage EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::RouteTable`
**AWS Config règle :** `tagged-ec2-routetable` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une table de routage Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la table de routage ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table de routage n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une table de routage EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.43] Les groupes de sécurité EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::SecurityGroup`
**AWS Config règle :** `tagged-ec2-securitygroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de sécurité ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sécurité n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe de sécurité EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.44] Les sous-réseaux EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Subnet`
**AWS Config règle :** `tagged-ec2-subnet` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un sous-réseau Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le sous-réseau ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le sous-réseau n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un sous-réseau EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.45] Les volumes EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Volume`
**AWS Config règle :** `tagged-ec2-volume` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un volume Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le volume ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le volume n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un volume EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.46] Amazon VPCs doit être tagué
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPC`
**AWS Config règle :** `tagged-ec2-vpc` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un Amazon Virtual Private Cloud (Amazon VPC) possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le VPC Amazon ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre. `requiredTagKeys` Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le VPC Amazon n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un VPC, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPCEndpointService`
**AWS Config règle :** `tagged-ec2-vpcendpointservice` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un service de point de terminaison Amazon VPC possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le service de point de terminaison ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service de point de terminaison n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un service de point de terminaison Amazon VPC, consultez la section [Gérer les balises](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) dans la section [Configurer un service de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) du AWS PrivateLink Guide.*
## [EC2.48] Les journaux de flux Amazon VPC doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::FlowLog`
**AWS Config règle :** `tagged-ec2-flowlog` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un journal de flux Amazon VPC contient des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le journal de flux ne contient aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le journal de flux n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un journal de flux Amazon VPC, consultez la section Marquer [un journal de flux dans le guide](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) de l'utilisateur Amazon *VPC*.
## [EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPCPeeringConnection`
**AWS Config règle :** `tagged-ec2-vpcpeeringconnection` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une connexion d'appairage Amazon VPC possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la connexion d'appairage ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre `requiredTagKeys` ne sont pas présentes. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la connexion d'appairage n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à une connexion d'appairage Amazon VPC, consultez la section Marquer vos ressources [Amazon EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*
## [EC2.50] Les passerelles VPN EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPNGateway`
**AWS Config règle :** `tagged-ec2-vpngateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle VPN Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle VPN ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle VPN n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle VPN EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.12, NIST.800-171.R2 3.20, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::ClientVpnEndpoint`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des connexions client est activée sur un AWS Client VPN terminal. Le contrôle échoue si la journalisation des connexions client n'est pas activée sur le terminal.
Les points de terminaison VPN client permettent aux clients distants de se connecter en toute sécurité aux ressources d'un Virtual Private Cloud (VPC) dans. AWS Les journaux de connexion vous permettent de suivre l'activité des utilisateurs sur le point de terminaison VPN et offrent une visibilité. Lorsque vous activez la journalisation des connexions, vous pouvez spécifier le nom d'un flux de journaux dans le groupe de journaux. Si vous ne spécifiez pas de flux de journal, le service Client VPN en crée un pour vous.
### Correction
Pour activer la journalisation des connexions, consultez la section [Activer la journalisation des connexions pour un point de terminaison Client VPN existant](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) dans le *Guide de l'AWS Client VPN administrateur*.
## [EC2.52] Les passerelles de transit EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TransitGateway`
**AWS Config règle :** `tagged-ec2-transitgateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une passerelle de transit Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle de transit ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle de transit EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `ipType` | La version IP | String | Non personnalisable | `IPv4` |
| `restrictPorts` | Liste des ports qui doivent rejeter le trafic entrant | IntegerList | Non personnalisable | `22,3389` |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis 0.0.0.0/0 vers les ports d'administration du serveur distant (ports 22 et 3389). Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 vers le port 22 ou 3389.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous recommandons qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration des serveurs distants, tels que SSH vers le port 22 et RDP vers le port 3389, en utilisant les protocoles TDP (6), UDP (17) ou ALL (-1). Permettre au public d'accéder à ces ports augmente la surface d'attaque des ressources et le risque de compromission des ressources.
### Correction
Pour mettre à jour une règle de groupe de sécurité EC2 afin d'interdire le trafic entrant vers les ports spécifiés, consultez la section [Mettre à jour les règles du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) dans le guide de l'*utilisateur Amazon EC2*. Après avoir sélectionné un groupe de sécurité dans la console Amazon EC2, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 22 ou au port 3389.
## [EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `ipType` | La version IP | String | Non personnalisable | `IPv6` |
| `restrictPorts` | Liste des ports qui doivent rejeter le trafic entrant | IntegerList | Non personnalisable | `22,3389` |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis : :/0 vers les ports d'administration du serveur distant (ports 22 et 3389). Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis : :/0 vers le port 22 ou 3389.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous recommandons qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration des serveurs distants, tels que SSH vers le port 22 et RDP vers le port 3389, en utilisant les protocoles TDP (6), UDP (17) ou ALL (-1). Permettre au public d'accéder à ces ports augmente la surface d'attaque des ressources et le risque de compromission des ressources.
### Correction
Pour mettre à jour une règle de groupe de sécurité EC2 afin d'interdire le trafic entrant vers les ports spécifiés, consultez la section [Mettre à jour les règles du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) dans le guide de l'*utilisateur Amazon EC2*. Après avoir sélectionné un groupe de sécurité dans la console Amazon EC2, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 22 ou au port 3389.
## [EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ecr.api |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si un cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour l'API Amazon ECR. Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour l'API ECR. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ecr.dkr |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si un cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour Docker Registry. Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour Docker Registry. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ssm |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si le cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour celui-ci. AWS Systems Manager Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour Systems Manager. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ssm-contacts |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si le cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour AWS Systems Manager les contacts d'Incident Manager. Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour les contacts de Systems Manager Incident Manager. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ssm-incidents |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si le cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour Incident Manager. AWS Systems Manager Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour Systems Manager Incident Manager. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
**Exigences connexes :** PCI DSS v4.0.1/2.2.6
**Catégorie :** Protection > Sécurité du réseau
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un modèle de lancement Amazon EC2 est configuré avec le service de métadonnées d'instance version 2 ()IMDSv2. Le contrôle échoue s'il `HttpTokens` est défini sur`optional`.
L'exécution des ressources sur les versions logicielles prises en charge garantit des performances, une sécurité et un accès aux fonctionnalités les plus récentes. Des mises à jour régulières protègent contre les vulnérabilités, ce qui contribue à garantir une expérience utilisateur stable et efficace.
### Correction
Pour exiger IMDSv2 sur un modèle de lancement EC2, consultez [Configurer les options du service de métadonnées d'instance dans le](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) guide de l'utilisateur *Amazon* EC2.
## [EC2.171] La journalisation des connexions VPN EC2 doit être activée
**Exigences connexes :** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPNConnection`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si Amazon CloudWatch Logs est activé pour les deux tunnels sur une connexion AWS Site-to-Site VPN. Le contrôle échoue si les CloudWatch journaux ne sont pas activés pour une connexion Site-to-Site VPN pour les deux tunnels.
AWS Site-to-Site Les journaux VPN vous offrent une meilleure visibilité de vos déploiements Site-to-Site VPN. Grâce à cette fonctionnalité, vous avez accès aux journaux de connexion Site-to-Site VPN qui fournissent des détails sur l'établissement du tunnel de sécurité IP (IPsec), les négociations sur l'échange de clés Internet (IKE) et les messages du protocole de détection des pairs morts (DDP). Site-to-Site Les journaux VPN peuvent être publiés dans CloudWatch Logs. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.
### Correction
Pour activer la journalisation par tunnel sur une connexion VPN EC2, consultez les [journaux AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) dans le *guide de l'utilisateur du AWS Site-to-Site VPN*.
## [EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPCBlockPublicAccessOptions`
**AWS Config règle :** `ec2-vpc-bpa-internet-gateway-blocked` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `vpcBpaInternetGatewayBlockMode` | Valeur de chaîne du mode d'options VPC BPA. | Enum | `block-bidirectional`, `block-ingress` | Aucune valeur par défaut |
Ce contrôle vérifie si les paramètres BPA (VPC Block Public Access) d'Amazon EC2 sont configurés pour bloquer le trafic de passerelle Internet pour tous les Amazon du. VPCs Compte AWS Le contrôle échoue si les paramètres BPA du VPC ne sont pas configurés pour bloquer le trafic de passerelle Internet. Pour que le contrôle passe, le BPA du VPC `InternetGatewayBlockMode` doit être réglé sur ou. `block-bidirectional` `block-ingress` Si le paramètre `vpcBpaInternetGatewayBlockMode` est fourni, le contrôle est transmis uniquement si la valeur BPA du VPC pour `InternetGatewayBlockMode` correspond au paramètre.
La configuration des paramètres VPC BPA de votre compte dans an vous Région AWS permet d'empêcher les ressources VPCs et les sous-réseaux que vous possédez dans cette région d'atteindre ou d'être accessibles depuis Internet via des passerelles Internet et des passerelles Internet de sortie uniquement. Si vous avez besoin de sous-réseaux VPCs et de sous-réseaux spécifiques pour pouvoir accéder ou être accessibles depuis Internet, vous pouvez les exclure en configurant les exclusions BPA des VPC. Pour obtenir des instructions sur la création et la suppression d'exclusions, consultez la section [Créer et supprimer des exclusions](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) dans le guide de l'*utilisateur Amazon VPC*.
### Correction
Pour activer le BPA bidirectionnel au niveau du compte, consultez [Activer le mode bidirectionnel BPA pour votre compte dans le guide de l'utilisateur](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) Amazon *VPC*. Pour activer le BPA en entrée uniquement, voir Changer le mode BPA du [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) en mode BPA en entrée uniquement. Pour activer le BPA VPC au niveau de l'organisation, voir Activer le [BPA VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) au niveau de l'organisation.
## [EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::SpotFleet`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une demande Amazon EC2 Spot Fleet spécifiant les paramètres de lancement est configurée pour activer le chiffrement de tous les volumes Amazon Elastic Block Store (Amazon EBS) attachés aux instances EC2. Le contrôle échoue si la demande Spot Fleet spécifie les paramètres de lancement et n'active pas le chiffrement pour un ou plusieurs volumes EBS spécifiés dans la demande.
Pour un niveau de sécurité supplémentaire, vous devez activer le chiffrement pour les volumes Amazon EBS. Les opérations de chiffrement ont ensuite lieu sur les serveurs qui hébergent les instances Amazon EC2, ce qui permet de garantir la sécurité des données au repos et des données en transit entre une instance et son stockage EBS attaché. Le chiffrement Amazon EBS est une solution de chiffrement simple pour les ressources EBS associées à vos instances EC2. Avec le chiffrement EBS, vous n'êtes pas obligé de créer, de maintenir et de sécuriser votre propre infrastructure de gestion des clés. Le chiffrement EBS est utilisé AWS KMS keys lors de la création de volumes chiffrés.
**Remarques**
Ce contrôle ne génère pas de résultats pour les demandes Amazon EC2 Spot Fleet qui utilisent des modèles de lancement. Il ne génère pas non plus de résultats pour les demandes Spot Fleet qui ne spécifient pas explicitement une valeur pour le `encrypted` paramètre.
### Correction
Il n'existe aucun moyen direct de chiffrer un volume Amazon EBS non chiffré existant. Vous ne pouvez chiffrer un nouveau volume que lorsque vous le créez.
Toutefois, si vous activez le chiffrement par défaut, Amazon EBS chiffre les nouveaux volumes en utilisant votre clé par défaut pour le chiffrement EBS. Si vous n'activez pas le chiffrement par défaut, vous pouvez l'activer lorsque vous créez un volume individuel. Dans les deux cas, vous pouvez remplacer la clé par défaut pour le chiffrement EBS et choisir une clé gérée par le client. AWS KMS key Pour plus d'informations sur le chiffrement EBS, consultez la section relative au chiffrement [Amazon EBS dans le](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) guide de l'*utilisateur Amazon EBS*.
Pour plus d'informations sur la création d'une demande Amazon EC2 Spot Fleet, consultez [Create a Spot Fleet](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) dans le guide de l'*utilisateur d'Amazon Elastic Compute Cloud*.
## [EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::DHCPOptions`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un ensemble d'options DHCP Amazon EC2 possède les clés de balise spécifiées par le paramètre. `requiredKeyTags` Le contrôle échoue si le jeu d'options ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le jeu d'options ne comporte aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
*Pour plus d'informations sur l'ajout de balises à un ensemble d'options DHCP Amazon EC2, consultez la section Marquer vos [ressources Amazon EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*
## [EC2.175] Les modèles de lancement EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle de lancement Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le modèle de lancement ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle de lancement ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un modèle de lancement Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.176] Les listes de préfixes EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::PrefixList`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de préfixes Amazon EC2 possède les clés de balise spécifiées par le paramètre. `requiredKeyTags` Le contrôle échoue si la liste de préfixes ne contient aucune clé de balise ou si elle ne contient pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la liste de préfixes ne contient aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
*Pour plus d'informations sur l'ajout de balises à une liste de préfixes Amazon EC2, consultez la section Marquer vos [ressources Amazon EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*
## [EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TrafficMirrorSession`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une session de miroir du trafic Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la session ne possède aucune clé de balise ou si toutes les clés spécifiées par le `requiredKeyTags` paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la session ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une session de miroir de trafic Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TrafficMirrorFilter`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un filtre miroir de trafic Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le filtre ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le filtre n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un filtre de miroir de trafic Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TrafficMirrorTarget`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une cible miroir de trafic Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la cible ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la cible n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une cible miroir de trafic Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::NetworkInterface`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la source/destination vérification est activée pour une interface Amazon EC2 Elastic Network (ENI) gérée par les utilisateurs. Le contrôle échoue si la source/destination vérification est désactivée pour l'ENI géré par l'utilisateur. Ce contrôle vérifie uniquement les types suivants de ENIs : `aws_codestar_connections_managed``branch`,`efa`,`interface`,`lambda`, et`quicksight`.
Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidation d'adresse, qui garantit qu'une instance est la source ou la destination de tout trafic qu'elle reçoit. Cela fournit une couche supplémentaire de sécurité réseau en empêchant les ressources de gérer le trafic involontaire et en empêchant l'usurpation d'adresse IP.
**Note**
Si vous utilisez une instance EC2 comme instance NAT et que vous avez désactivé la source/destination vérification de son ENI, vous pouvez utiliser une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) à la place.
### Correction
Pour plus d'informations sur l'activation source/destination des vérifications pour un ENI Amazon EC2, consultez [Modifier les attributs de l'interface réseau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un modèle de lancement Amazon EC2 active le chiffrement pour tous les volumes EBS attachés. Le contrôle échoue si le paramètre de chiffrement est défini sur tous `False` les volumes EBS spécifiés par le modèle de lancement EC2.
Le chiffrement Amazon EBS est une solution de chiffrement simple pour les ressources EBS associées aux instances Amazon EC2. Avec le chiffrement EBS, vous n'êtes pas obligé de créer, de maintenir et de sécuriser votre propre infrastructure de gestion des clés. Le chiffrement EBS est utilisé AWS KMS keys lors de la création de volumes chiffrés et de snapshots. Les opérations de chiffrement ont lieu sur les serveurs qui hébergent les instances EC2, ce qui permet de garantir la sécurité des données au repos et des données en transit entre une instance EC2 et le stockage EBS qui lui est rattaché. Pour plus d’informations, consultez la section [Chiffrement Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) dans le *Guide de l’utilisateur Amazon EC2*.
Vous pouvez activer le chiffrement EBS lors du lancement manuel d'instances EC2 individuelles. Cependant, l'utilisation des modèles de lancement EC2 et la configuration des paramètres de chiffrement dans ces modèles présentent plusieurs avantages. Vous pouvez appliquer le chiffrement en tant que norme et garantir l'utilisation de paramètres de chiffrement cohérents. Vous pouvez également réduire le risque d'erreur et de failles de sécurité susceptibles de survenir lors du lancement manuel d'instances.
**Note**
Lorsque ce contrôle vérifie un modèle de lancement EC2, il évalue uniquement les paramètres de chiffrement EBS explicitement spécifiés par le modèle. L'évaluation n'inclut pas les paramètres de chiffrement hérités des paramètres de chiffrement EBS au niveau du compte, les mappages de périphériques par blocs AMI ou les états de chiffrement des instantanés source.
### Correction
Une fois que vous avez créé un modèle de lancement Amazon EC2, vous ne pouvez pas le modifier. Vous pouvez toutefois créer une nouvelle version d'un modèle de lancement et modifier les paramètres de chiffrement dans cette nouvelle version du modèle. Vous pouvez également spécifier la nouvelle version comme version par défaut du modèle de lancement. Ensuite, si vous lancez une instance EC2 à partir d'un modèle de lancement et que vous ne spécifiez pas de version de modèle, EC2 utilise les paramètres de la version par défaut lorsqu'il lance l'instance. Pour plus d'informations, consultez [Modifier un modèle de lancement](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SnapshotBlockPublicAccess`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Le contrôle vérifie si le blocage de l'accès public est activé pour bloquer tout partage d'instantanés Amazon EBS. Le contrôle échoue si le blocage de l'accès public n'est pas activé pour bloquer tout partage pour tous les instantanés Amazon EBS.
Pour empêcher le partage public de vos instantanés Amazon EBS, vous pouvez activer le blocage de l'accès public aux instantanés. Une fois que le blocage de l'accès public aux instantanés est activé dans une région, toute tentative de partage public d'instantanés dans cette région est automatiquement bloquée. Cela permet d'améliorer la sécurité des instantanés et de protéger les données des instantanés contre tout accès non autorisé ou involontaire.
### Correction
Pour activer le blocage de l'accès public pour les instantanés, consultez la section [Configurer l'accès public bloqué pour les instantanés Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) dans le guide de l'utilisateur *Amazon EBS*. Pour **Bloquer l'accès public**, choisissez **Bloquer tout accès public**.
# Contrôles Security Hub CSPM pour Auto Scaling
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon EC2 Auto Scaling.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB
**Exigences connexes :** PCI DSS v3.2.1/2.2, NIST.800-53.R5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Identifier - Inventaire
**Gravité : ** Faible
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling associé à un équilibreur de charge utilise les tests de santé d'Elastic Load Balancing (ELB). Le contrôle échoue si le groupe Auto Scaling n'utilise pas les bilans de santé ELB.
Les bilans de santé ELB permettent de garantir qu'un groupe Auto Scaling peut déterminer l'état de santé d'une instance sur la base de tests supplémentaires fournis par l'équilibreur de charge. L'utilisation des contrôles de santé d'Elastic Load Balancing permet également de garantir la disponibilité des applications qui utilisent des groupes EC2 Auto Scaling.
### Correction
Pour ajouter des tests de santé Elastic Load Balancing, consultez la section [Ajouter des contrôles de santé Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) dans le *guide de l'utilisateur Amazon EC2 Auto Scaling*.
## [AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling couvre au moins le nombre spécifié de zones de disponibilité (AZs). Le contrôle échoue si un groupe Auto Scaling ne couvre pas au moins le nombre spécifié de AZs. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Un groupe Auto Scaling qui ne couvre pas plusieurs zones ne AZs peut pas lancer d'instances dans une autre zone de zone pour compenser l'indisponibilité de la seule zone de zone configurée. Cependant, un groupe Auto Scaling avec une seule zone de disponibilité peut être préférable dans certains cas d'utilisation, tels que les tâches par lots ou lorsque les coûts de transfert inter-AZ doivent être réduits au minimum. Dans ce cas, vous pouvez désactiver ce contrôle ou supprimer ses résultats.
### Correction
Pour ajouter AZs à un groupe Auto Scaling existant, consultez la section [Ajouter et supprimer des zones de disponibilité](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*.
## [AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)
**Exigences connexes :** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.6
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::AutoScaling::LaunchConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il IMDSv2 est activé sur toutes les instances lancées par les groupes Amazon EC2 Auto Scaling. Le contrôle échoue si la version du service de métadonnées d'instance (IMDS) n'est pas incluse dans la configuration de lancement ou est configurée en tant que `token optional` paramètre qui autorise l'un IMDSv1 ou IMDSv2 l'autre.
IMDS fournit des données sur votre instance que vous pouvez utiliser pour configurer ou gérer l'instance en cours d'exécution.
La version 2 de l'IMDS ajoute de nouvelles protections qui n'étaient pas disponibles dans IMDSv1 afin de mieux protéger vos EC2 instances.
### Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration de lancement d'un groupe Auto Scaling, utilisez une configuration de lancement existante comme base pour une nouvelle configuration de lancement avec IMDSv2 activé. Pour plus d'informations, consultez [Configurer les options de métadonnées d'instance pour les nouvelles instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) dans le *guide de EC2 l'utilisateur Amazon*.
## [AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::AutoScaling::LaunchConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie le nombre de sauts réseau qu'un jeton de métadonnées peut effectuer. Le contrôle échoue si la limite de sauts de réponse des métadonnées est supérieure à`1`.
Le service de métadonnées d'instance (IMDS) fournit des informations de métadonnées sur une EC2 instance Amazon et est utile pour la configuration des applications. Le fait de restreindre la `PUT` réponse HTTP du service de métadonnées à l' EC2 instance uniquement protège l'IMDS contre toute utilisation non autorisée.
Le champ Time To Live (TTL) du paquet IP est réduit d'une unité à chaque saut. Cette réduction peut être utilisée pour garantir que le paquet ne voyage pas à l'extérieur EC2. IMDSv2 protège les EC2 instances qui peuvent avoir été mal configurées en tant que routeurs ouverts, pare-feux de couche 3 VPNs, tunnels ou périphériques NAT, ce qui empêche les utilisateurs non autorisés de récupérer des métadonnées. Avec IMDSv2, la `PUT` réponse contenant le jeton secret ne peut pas voyager en dehors de l'instance car la limite de sauts de réponse aux métadonnées par défaut est définie sur`1`. Toutefois, si cette valeur est supérieure à`1`, le jeton peut quitter l' EC2 instance.
### Correction
Pour modifier la limite de sauts de réponse aux métadonnées pour une configuration de lancement existante, consultez la section [Modifier les options de métadonnées d'instance pour les instances existantes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) dans le *guide de EC2 l'utilisateur Amazon*.
## [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::AutoScaling::LaunchConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la configuration de lancement associée à un groupe Auto Scaling attribue une [adresse IP publique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) aux instances du groupe. Le contrôle échoue si la configuration de lancement associée attribue une adresse IP publique.
EC2 Les instances Amazon dans une configuration de lancement de groupe Auto Scaling ne doivent pas être associées à une adresse IP publique, sauf dans des cas limités. Les EC2 instances Amazon ne devraient être accessibles que derrière un équilibreur de charge au lieu d'être directement exposées à Internet.
### Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration du lancement d'un groupe Auto Scaling, utilisez une configuration du lancement existante comme base de la nouvelle configuration du lancement. Mettez ensuite à jour le groupe Auto Scaling de manière à utiliser la nouvelle configuration du lancement. Pour step-by-step obtenir des instructions, consultez [Modifier la configuration de lancement d'un groupe Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*. Lors de la création de la nouvelle configuration de lancement, sous **Configuration supplémentaire**, pour **Détails avancés, type d'adresse IP**, choisissez **Ne pas attribuer d'adresse IP publique à aucune instance**.
Après avoir modifié la configuration de lancement, Auto Scaling lance de nouvelles instances avec les nouvelles options de configuration. Les instances existantes ne sont pas affectées. Pour mettre à jour une instance existante, nous vous recommandons d'actualiser votre instance ou d'autoriser le dimensionnement automatique afin de remplacer progressivement les anciennes instances par des instances plus récentes en fonction de vos politiques de résiliation. Pour plus d'informations sur la mise à jour des instances Auto Scaling, consultez [Update Auto Scaling instances](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) dans le manuel *Amazon EC2 Auto Scaling User Guide*.
## [AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling utilise plusieurs types d'instances. Le contrôle échoue si le groupe Auto Scaling n'a qu'un seul type d'instance défini.
Vous pouvez améliorer la disponibilité en déployant votre application entre plusieurs types d'instances s'exécutant dans plusieurs zones de disponibilité. Security Hub CSPM recommande d'utiliser plusieurs types d'instances afin que le groupe Auto Scaling puisse lancer un autre type d'instance si la capacité d'instance est insuffisante dans les zones de disponibilité que vous avez choisies.
### Correction
Pour créer un groupe Auto Scaling avec plusieurs types d'instances, consultez la section [Groupes Auto Scaling avec plusieurs types d'instances et options d'achat](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*.
## [AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling est créé à partir d'un modèle de EC2 lancement. Ce contrôle échoue si aucun groupe Amazon EC2 Auto Scaling n'est créé avec un modèle de lancement ou si aucun modèle de lancement n'est spécifié dans une politique d'instances mixtes.
Un groupe EC2 Auto Scaling peut être créé à partir d'un modèle de EC2 lancement ou d'une configuration de lancement. Cependant, l'utilisation d'un modèle de lancement pour créer un groupe Auto Scaling garantit que vous avez accès aux dernières fonctionnalités et améliorations.
### Correction
Pour créer un groupe Auto Scaling avec un modèle de EC2 lancement, consultez [Create an Auto Scaling group using a launch template](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) dans le manuel *Amazon EC2 Auto Scaling User Guide*. Pour plus d'informations sur le remplacement d'une configuration de lancement par un modèle de lancement, consultez la section [Remplacer une configuration de lancement par un modèle de lancement](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) dans le *guide de EC2 l'utilisateur Amazon*.
## [AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config règle :** `tagged-autoscaling-autoscalinggroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le groupe Auto Scaling ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe Auto Scaling n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe Auto Scaling, consultez la section [Groupes et instances Tag Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*.
# Contrôles Security Hub CSPM pour Amazon ECR
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon Elastic Container Registry (Amazon ECR).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
**Exigences connexes :** PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la numérisation d'images est configurée dans un référentiel Amazon ECR privé. Le contrôle échoue si le référentiel ECR privé n'est pas configuré pour le scan sur push ou le scan continu.
La numérisation d'images ECR permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. La configuration de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées.
### Correction
Pour configurer la numérisation d'images pour un référentiel ECR, consultez la section [Numérisation d'images](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) dans le *guide de l'utilisateur d'Amazon Elastic Container Registry*.
## [ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-8 (1)
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'immuabilité des balises est activée dans un référentiel ECR privé. Ce contrôle échoue si l'immuabilité des balises est désactivée dans un référentiel ECR privé. Cette règle est acceptée si l'immuabilité des balises est activée et possède la valeur. `IMMUTABLE`
Amazon ECR Tag Immutability permet aux clients de s'appuyer sur les balises descriptives d'une image en tant que mécanisme fiable pour suivre et identifier les images de manière unique. Une balise immuable est statique, ce qui signifie que chaque balise fait référence à une image unique. Cela améliore la fiabilité et l'évolutivité, car l'utilisation d'une balise statique entraîne toujours le déploiement de la même image. Lorsqu'elle est configurée, l'immuabilité des balises empêche le remplacement des balises, ce qui réduit la surface d'attaque.
### Correction
Pour créer un référentiel avec des balises immuables configurées ou pour mettre à jour les paramètres de mutabilité des balises d'image pour un référentiel existant, consultez la section [Mutabilité des balises d'image dans le guide de l'utilisateur](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) d'*Amazon Elastic Container Registry*.
## [ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si au moins une politique de cycle de vie est configurée dans un référentiel Amazon ECR. Ce contrôle échoue si aucune politique de cycle de vie n'est configurée dans un référentiel ECR.
Les politiques de cycle de vie Amazon ECR vous permettent de préciser la gestion du cycle de vie des images dans un référentiel. En configurant des politiques de cycle de vie, vous pouvez automatiser le nettoyage des images inutilisées et l'expiration des images en fonction de leur âge ou de leur nombre. L'automatisation de ces tâches peut vous aider à éviter d'utiliser involontairement des images obsolètes dans votre référentiel.
### Correction
Pour configurer une politique de cycle de vie, consultez la section [Création d'une version préliminaire de la politique de cycle](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) de vie dans le *guide de l'utilisateur d'Amazon Elastic Container Registry*.
## [ECR.4] Les référentiels publics ECR doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECR::PublicRepository`
**AWS Config règle :** `tagged-ecr-publicrepository` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un référentiel public Amazon ECR possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le référentiel public ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le référentiel public n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un référentiel public ECR, consultez la section [Marquage d'un référentiel public Amazon ECR dans le guide de l'utilisateur](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) d'*Amazon Elastic Container Registry*.
## [ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys
**Exigences connexes :** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Une liste des noms de ressources Amazon (ARNs) AWS KMS keys à inclure dans l'évaluation. Le contrôle permet de déterminer `FAILED` si un référentiel ECR n'est pas chiffré avec une clé KMS dans la liste. | StringList (maximum de 10 articles) | 1 à 10 ARNs des clés KMS existantes. Par exemple : `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` | Aucune valeur par défaut |
Ce contrôle vérifie si un référentiel Amazon ECR est chiffré au repos et qu'il est géré AWS KMS key par un client. Le contrôle échoue si le référentiel ECR n'est pas chiffré avec une clé KMS gérée par le client. Vous pouvez éventuellement spécifier une liste de clés KMS que le contrôle doit inclure dans l'évaluation.
Par défaut, Amazon ECR chiffre les données du référentiel à l'aide des clés gérées par Amazon S3 (SSE-S3), à l'aide d'un algorithme AES-256. Pour un contrôle supplémentaire, vous pouvez configurer Amazon ECR pour crypter les données à l'aide d'un AWS KMS key (SSE-KMS ou DSSE-KMS) à la place. La clé KMS peut être : une clé créée et gérée par Amazon ECR pour vous et Clé gérée par AWS qui possède un alias`aws/ecr`, ou une clé gérée par le client que vous créez et gérez dans votre Compte AWS. Avec une clé KMS gérée par le client, vous avez le contrôle total de la clé. Cela inclut la définition et le maintien de la politique des clés, la gestion des subventions, la rotation du matériel cryptographique, l'attribution de balises, la création d'alias, ainsi que l'activation et la désactivation de la clé.
**Note**
AWS KMS prend en charge l'accès aux clés KMS entre comptes. Si un référentiel ECR est chiffré à l'aide d'une clé KMS appartenant à un autre compte, ce contrôle n'effectue pas de vérifications entre comptes lors de l'évaluation du référentiel. Le contrôle n'évalue pas si Amazon ECR peut accéder à la clé et l'utiliser lors d'opérations cryptographiques pour le référentiel.
### Correction
Vous ne pouvez pas modifier les paramètres de chiffrement d'un référentiel ECR existant. Toutefois, vous pouvez définir différents paramètres de chiffrement pour les référentiels ECR que vous créerez ultérieurement. Amazon ECR prend en charge l'utilisation de différents paramètres de chiffrement pour les référentiels individuels.
Pour plus d'informations sur les options de chiffrement pour les référentiels ECR, consultez [Encryption at rest dans le guide](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) de l'utilisateur *Amazon ECR.* Pour plus d'informations sur la gestion par le client AWS KMS keys, consultez [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)le *guide du AWS Key Management Service développeur*.
# Contrôles Security Hub CSPM pour Amazon ECS
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon Elastic Container Service (Amazon ECS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés
**Important**
Security Hub CSPM a retiré ce contrôle en mars 2026. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md). Vous pouvez vous référer aux contrôles suivants pour évaluer la configuration privilégiée, la configuration du mode réseau et la configuration utilisateur :
[[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](#ecs-4)
[[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](#ecs-17)
[[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](#ecs-20)
[[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](#ecs-21)
**Exigences associées :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `SkipInactiveTaskDefinitions`: `true` (non personnalisable)
Ce contrôle vérifie si une définition de tâche Amazon ECS active en mode réseau hôte possède `privileged` ou non des définitions de `user` conteneur. Le contrôle échoue pour les définitions de tâches dont le mode réseau hôte et les définitions de `privileged=false` conteneur sont vides ou vides. `user=root`
Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
L'objectif de ce contrôle est de garantir que l'accès est défini intentionnellement lorsque vous exécutez des tâches utilisant le mode réseau hôte. Si une définition de tâche possède des privilèges élevés, c'est parce que vous avez choisi cette configuration. Ce contrôle vérifie l'absence d'augmentation inattendue des privilèges lorsqu'une définition de tâche active le réseau hôte et que vous ne choisissez pas de privilèges élevés.
### Correction
Pour plus d'informations sur la mise à jour d'une définition de tâche, consultez la section [Mise à jour d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
Lorsque vous mettez à jour une définition de tâche, elle ne met pas à jour les tâches en cours qui ont été lancées à partir de la définition de tâche précédente. Pour mettre à jour une tâche en cours d'exécution, vous devez la redéployer avec la nouvelle définition de tâche.
## [ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::Service`
**AWS Config règle :** `ecs-service-assign-public-ip-disabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les services Amazon ECS sont configurés pour attribuer automatiquement des adresses IP publiques. Ce contrôle échoue si tel `AssignPublicIP` est le cas`ENABLED`. Ce contrôle passe si tel `AssignPublicIP` est le cas`DISABLED`.
Une adresse IP publique est une adresse IP accessible depuis Internet. Si vous lancez vos instances Amazon ECS avec une adresse IP publique, elles sont accessibles depuis Internet. Les services Amazon ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.
### Correction
Vous devez d'abord créer une définition de tâche pour votre cluster qui utilise le mode `awsvpc` réseau et spécifie **FARGATE pour.** `requiresCompatibilities` Ensuite, pour la **configuration de calcul**, choisissez **le type de lancement** et **FARGATE**. Enfin, dans le champ **Réseau**, désactivez l'**adresse IP publique** pour désactiver l'attribution automatique d'adresses IP publiques à votre service.
## [ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les définitions de tâches Amazon ECS sont configurées pour partager l'espace de noms de processus d'un hôte avec ses conteneurs. Le contrôle échoue si la définition de tâche partage l'espace de noms de processus de l'hôte avec les conteneurs qui y sont exécutés. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Un espace de noms d'ID de processus (PID) permet de séparer les processus. Il empêche les processus du système d'être visibles et permet PIDs leur réutilisation, y compris le PID 1. Si l'espace de noms PID de l'hôte est partagé avec des conteneurs, cela permettra aux conteneurs de voir tous les processus du système hôte. Cela réduit l'avantage de l'isolation au niveau du processus entre l'hôte et les conteneurs. Ces circonstances peuvent entraîner un accès non autorisé aux processus sur l'hôte lui-même, y compris la capacité de les manipuler et d'y mettre fin. Les clients ne doivent pas partager l'espace de noms de processus de l'hôte avec les conteneurs qui s'exécutent sur celui-ci.
### Correction
Pour configurer la `pidMode` définition d'une tâche, consultez la section [Paramètres de définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) dans le manuel Amazon Elastic Container Service Developer Guide.
## [ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le `privileged` paramètre de la définition du conteneur des définitions de tâches Amazon ECS est défini sur`true`. Le contrôle échoue si ce paramètre est égal à`true`. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Nous vous recommandons de supprimer les privilèges élevés de vos définitions de tâches ECS. Lorsque le paramètre de privilège est défini`true`, le conteneur reçoit des privilèges élevés sur l'instance du conteneur hôte (comme l'utilisateur root).
### Correction
Pour configurer le `privileged` paramètre sur une définition de tâche, consultez la section [Paramètres avancés de définition de conteneur](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) dans le manuel Amazon Elastic Container Service Developer Guide.
## [ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les définitions de tâches ECS configurent les conteneurs de manière à ce qu'ils soient limités à un accès en lecture seule aux systèmes de fichiers racines montés. Le contrôle échoue si le `readonlyRootFilesystem` paramètre dans les définitions de conteneur de la définition de tâche ECS est défini sur`false`, ou si le paramètre n'existe pas dans la définition de conteneur au sein de la définition de tâche. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Si le `readonlyRootFilesystem` paramètre est défini sur `true` dans une définition de tâche Amazon ECS, le conteneur ECS bénéficie d'un accès en lecture seule à son système de fichiers racine. Cela réduit les vecteurs d'attaques de sécurité, car le système de fichiers racine de l'instance de conteneur ne peut pas être altéré ou écrit sans des montages de volumes explicites dotés d'autorisations de lecture-écriture pour les dossiers et répertoires du système de fichiers. L'activation de cette option est également conforme au principe du moindre privilège.
**Note**
Le `readonlyRootFilesystem` paramètre n'est pas pris en charge pour les conteneurs Windows. Les définitions de tâches `runtimePlatform` configurées pour spécifier une famille de `WINDOWS_SERVER` systèmes d'exploitation sont marquées comme `NOT_APPLICABLE` telles et ne généreront pas de résultats pour ce contrôle.
### Correction
Pour accorder à un conteneur Amazon ECS un accès en lecture seule à son système de fichiers racine, ajoutez le `readonlyRootFilesystem` paramètre à la définition de tâche du conteneur et définissez la valeur du paramètre sur. `true` Pour plus d'informations sur les paramètres de définition des tâches et sur la manière de les ajouter à une définition de tâche, consultez les [définitions de tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) et la [mise à jour d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2
**Catégorie :** Protéger > Développement sécurisé > Informations d'identification non codées en dur
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)
**Type de calendrier :** changement déclenché
**Paramètres :** `secretKeys` : `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (non personnalisable)
Ce contrôle vérifie si la valeur clé de l'une des variables du `environment` paramètre des définitions de conteneur inclut `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, ou`ECS_ENGINE_AUTH_DATA`. Ce contrôle échoue si une seule variable d'environnement dans une définition de conteneur est égale à `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, ou`ECS_ENGINE_AUTH_DATA`. Ce contrôle ne couvre pas les variables environnementales transmises depuis d'autres sites tels qu'Amazon S3. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
AWS Systems Manager Parameter Store peut vous aider à améliorer le niveau de sécurité de votre organisation. Nous vous recommandons d'utiliser le Parameter Store pour stocker les secrets et les informations d'identification au lieu de les transmettre directement à vos instances de conteneur ou de les coder en dur dans votre code.
### Correction
Pour créer des paramètres à l'aide de SSM, reportez-vous à la section [Création de paramètres de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) dans le *guide de AWS Systems Manager l'utilisateur*. Pour plus d'informations sur la création d'une définition de tâche [spécifiant un secret, consultez la section Spécification de données sensibles à l'aide de Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**AWS Config règle : ecs-task-definition-log** [-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une configuration de journalisation est spécifiée pour la dernière définition de tâche Amazon ECS active. Le contrôle échoue si la `logConfiguration` propriété de la définition de tâche n'est pas définie ou si la valeur de `logDriver` est nulle dans au moins une définition de conteneur.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances d'Amazon ECS. La collecte de données à partir des définitions de tâches apporte de la visibilité, ce qui peut vous aider à déboguer les processus et à identifier la cause première des erreurs. Si vous utilisez une solution de journalisation qui n'a pas besoin d'être définie dans la définition des tâches ECS (telle qu'une solution de journalisation tierce), vous pouvez désactiver ce contrôle après vous être assuré que vos journaux sont correctement capturés et transmis.
### Correction
Pour définir une configuration de journal pour vos définitions de tâches Amazon ECS, consultez [Spécifier une configuration de journal dans votre définition de tâche dans](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::Service`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `latestLinuxVersion: 1.4.0`(non personnalisable)
+ `latestWindowsVersion: 1.0.0`(non personnalisable)
Ce contrôle vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Ce contrôle échoue si la version de la plateforme n'est pas la plus récente.
AWS Fargate les versions de plate-forme font référence à un environnement d'exécution spécifique pour l'infrastructure de tâches Fargate, qui est une combinaison de versions d'exécution du noyau et du conteneur. De nouvelles versions de plate-forme sont publiées au fur et à mesure de l'évolution de l'environnement d'exécution. Par exemple, une nouvelle version peut être publiée pour les mises à jour du noyau ou du système d'exploitation, les nouvelles fonctionnalités, les corrections de bogues ou les mises à jour de sécurité. Des mises à jour de sécurité et des correctifs sont déployés automatiquement pour vos tâches Fargate. Si un problème de sécurité affectant une version de plate-forme est détecté, appliquez un AWS correctif à cette version.
### Correction
Pour mettre à jour un service existant, y compris sa version de plateforme, consultez la section [Mise à jour d'un service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.12] Les clusters ECS doivent utiliser Container Insights
**Exigences connexes :** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les clusters ECS utilisent Container Insights. Ce contrôle échoue si Container Insights n'est pas configuré pour un cluster.
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des clusters Amazon ECS. Utilisez CloudWatch Container Insights pour collecter, agréger et résumer les métriques et les journaux de vos applications conteneurisées et de vos microservices. CloudWatch collecte automatiquement des métriques pour de nombreuses ressources, telles que le processeur, la mémoire, le disque et le réseau. Conteneur Insights fournit également des informations de diagnostic (par exemple sur les échecs de redémarrage des conteneurs) pour vous aider à isoler les problèmes et à les résoudre rapidement. Vous pouvez également définir des CloudWatch alarmes sur les métriques collectées par Container Insights.
### Correction
Pour utiliser Container Insights, consultez la section [Mettre à jour un service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## [ECS.13] Les services ECS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::Service`
**AWS Config règle :** `tagged-ecs-service` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un service Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le service ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un service ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.14] Les clusters ECS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::Cluster`
**AWS Config règle :** `tagged-ecs-cluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un cluster ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.15] Les définitions de tâches ECS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::TaskDefinition`
**AWS Config règle :** `tagged-ecs-taskdefinition` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une définition de tâche Amazon ECS comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la définition de tâche ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la définition de tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une définition de tâche ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques
**Exigences connexes :** PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskSet`
**AWS Config règle :** `ecs-taskset-assign-public-ip-disabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un ensemble de tâches Amazon ECS est configuré pour attribuer automatiquement des adresses IP publiques. Le contrôle échoue s'il `AssignPublicIP` est défini sur`ENABLED`.
Une adresse IP publique est accessible depuis Internet. Si vous configurez votre ensemble de tâches avec une adresse IP publique, les ressources associées à l'ensemble de tâches sont accessibles depuis Internet. Les ensembles de tâches ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.
### Correction
Pour mettre à jour un ensemble de tâches ECS afin qu'il n'utilise pas d'adresse IP publique, consultez la section [Mise à jour d'une définition de tâche Amazon ECS à l'aide de la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS utilise le mode `host` réseau. Le contrôle échoue si la dernière révision active de la définition de tâche ECS utilise le mode `host` réseau.
Lorsque vous utilisez le mode `host` réseau, la mise en réseau d'un conteneur Amazon ECS est directement liée à l'hôte sous-jacent qui exécute le conteneur. Par conséquent, ce mode permet aux conteneurs de se connecter à des services réseau privés en boucle sur l'hôte et de se faire passer pour l'hôte. D'autres inconvénients importants sont qu'il n'est pas possible de remapper un port de conteneur en mode `host` réseau et que vous ne pouvez pas exécuter plus d'une seule instanciation d'une tâche sur chaque hôte.
### Correction
Pour plus d'informations sur les modes de mise en réseau et les options pour les tâches Amazon ECS hébergées sur des instances Amazon EC2, consultez les [options de mise en réseau des tâches Amazon ECS pour le type de lancement EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) dans le manuel du développeur *Amazon Elastic Container Service*. Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche et la spécification d'un mode réseau différent, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans ce guide.
Si la définition de tâche Amazon ECS a été créée par AWS Batch, consultez [Modes de mise en réseau pour les AWS Batch tâches pour](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) en savoir plus sur les modes de mise en réseau et l'utilisation typique des types de AWS Batch tâches et pour choisir une option sécurisée.
## [ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS
**Catégorie :** Protéger > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS utilise le chiffrement en transit pour les volumes EFS. Le contrôle échoue si le chiffrement en transit est désactivé pour les volumes EFS dans la dernière révision active de la définition des tâches ECS.
Les volumes Amazon EFS fournissent un stockage de fichiers partagé simple, évolutif et persistant à utiliser avec vos tâches Amazon ECS. Amazon EFS prend en charge le chiffrement des données en transit grâce au protocole TLS (Transport Layer Security). Lorsque le chiffrement des données en transit est déclaré comme option de montage pour votre système de fichiers EFS, Amazon EFS établit une connexion TLS sécurisée avec votre système de fichiers EFS lors du montage de votre système de fichiers.
### Correction
Pour plus d'informations sur l'activation du chiffrement en transit pour la définition des tâches Amazon ECS avec les volumes EFS, consultez l'[étape 5 : création d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée
**Catégorie :** Protéger > Protection des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::CapacityProvider`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un fournisseur de capacité Amazon ECS a activé la protection de résiliation gérée. Le contrôle échoue si la protection de terminaison gérée n'est pas activée sur un fournisseur de capacité ECS.
Les fournisseurs de capacité Amazon ECS gèrent la mise à l'échelle de l'infrastructure pour les tâches de vos clusters. Lorsque vous utilisez des instances EC2 pour votre capacité, vous utilisez le groupe Auto Scaling pour gérer les instances EC2. La protection contre la résiliation gérée permet à l’autoscaling de cluster de contrôler quelles instances sont résiliées. Lorsque vous utilisez la protection contre la résiliation gérée, Amazon ECS ne résilie que les instances EC2 qui n’ont pas de tâches Amazon ECS en cours d’exécution.
**Note**
Lors de l'utilisation de la protection contre la résiliation gérée, la mise à l'échelle gérée doit également être utilisée pour que la protection fonctionne.
### Correction
Pour activer la protection de résiliation gérée pour un fournisseur de capacité Amazon ECS, consultez la section [Mise à jour de la protection de résiliation gérée pour les fournisseurs de capacité Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) dans le *guide du développeur Amazon Elastic Container Service*.
## [ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS configure les conteneurs Linux pour qu'ils s'exécutent en tant qu'utilisateurs non root. Le contrôle échoue si un utilisateur root par défaut est configuré ou si la configuration utilisateur est absente pour un conteneur.
Lorsque les conteneurs Linux s'exécutent avec les privilèges root, ils présentent plusieurs risques de sécurité importants. Les utilisateurs root ont un accès illimité au conteneur. Cet accès élevé augmente le risque d'attaques visant à échapper aux conteneurs, dans le cadre desquelles un attaquant pourrait potentiellement sortir de l'isolation du conteneur et accéder au système hôte sous-jacent. Si un conteneur exécuté en tant que root est compromis, les attaquants peuvent l'exploiter pour accéder aux ressources du système hôte ou les modifier, affectant ainsi d'autres conteneurs ou l'hôte lui-même. En outre, l'accès root pourrait permettre des attaques par escalade de privilèges, permettant aux attaquants d'obtenir des autorisations supplémentaires au-delà de la portée prévue du conteneur. Le paramètre utilisateur dans les définitions de tâches ECS peut spécifier les utilisateurs dans plusieurs formats, notamment le nom d'utilisateur, l'ID utilisateur, le nom d'utilisateur avec le groupe ou l'UID avec l'ID de groupe. Il est important de tenir compte de ces différents formats lors de la configuration des définitions de tâches afin de garantir qu'aucun accès root n'est accordé par inadvertance. Conformément au principe du moindre privilège, les conteneurs doivent fonctionner avec les autorisations minimales requises en utilisant des utilisateurs non root. Cette approche réduit considérablement la surface d'attaque potentielle et atténue l'impact des failles de sécurité potentielles.
**Note**
Ce contrôle évalue les définitions de conteneur dans une définition de tâche uniquement si elles `operatingSystemFamily` sont configurées comme `LINUX` ou `operatingSystemFamily` non dans la définition de tâche. Le contrôle génère un `FAILED` résultat pour une définition de tâche évaluée si aucune définition de conteneur dans la définition de tâche `user` n'a été configurée ou `user` configurée en tant qu'utilisateur root par défaut. Les utilisateurs root par défaut pour les `LINUX` conteneurs sont `"root"` et`"0"`.
### Correction
Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche Amazon ECS et la mise à jour du `user` paramètre dans la définition de conteneur, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS configure les conteneurs Windows pour qu'ils s'exécutent en tant qu'utilisateurs qui ne sont pas des administrateurs par défaut. Le contrôle échoue si un administrateur par défaut est configuré en tant qu'utilisateur ou si la configuration utilisateur est absente pour un conteneur.
Lorsque les conteneurs Windows s'exécutent avec des privilèges d'administrateur, ils présentent plusieurs risques de sécurité importants. Les administrateurs ont un accès illimité au conteneur. Cet accès élevé augmente le risque d'attaques visant à échapper aux conteneurs, dans le cadre desquelles un attaquant pourrait potentiellement sortir de l'isolation du conteneur et accéder au système hôte sous-jacent.
**Note**
Ce contrôle évalue les définitions de conteneur dans une définition de tâche uniquement si elles `operatingSystemFamily` sont configurées comme `WINDOWS_SERVER` ou `operatingSystemFamily` non dans la définition de tâche. Le contrôle générera un `FAILED` résultat pour une définition de tâche évaluée si aucune définition de conteneur dans la définition de tâche `user` n'a été configurée ou `user` configurée en tant qu'administrateur par défaut pour les `WINDOWS_SERVER` conteneurs, ce qui est le cas`"containeradministrator"`.
### Correction
Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche Amazon ECS et la mise à jour du `user` paramètre dans la définition de conteneur, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
# Contrôles CSPM du Security Hub pour Amazon EFS
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon Elastic File System (Amazon EFS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si Amazon Elastic File System est configuré pour chiffrer les données du fichier à l'aide AWS KMS de. La vérification échoue dans les cas suivants.
+ `Encrypted` est défini sur `false` dans la réponse [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ La clé `KmsKeyId` de la [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) réponse ne correspond pas au paramètre `KmsKeyId` pour [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).
Notez que ce contrôle n'utilise pas le paramètre `KmsKeyId` pour [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Il ne vérifie que la valeur de `Encrypted`.
Pour renforcer la sécurité de vos données sensibles dans Amazon EFS, vous devez créer des systèmes de fichiers chiffrés. Amazon EFS prend en charge le chiffrement des systèmes de fichiers au repos. Vous pouvez activer le chiffrement des données au repos lorsque vous créez un système de fichiers Amazon EFS. Pour en savoir plus sur le chiffrement Amazon EFS, consultez la section [Chiffrement des données dans Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) dans le manuel *Amazon Elastic File System User Guide*.
### Correction
Pour en savoir plus sur le chiffrement d'un nouveau système de fichiers Amazon EFS, consultez la section [Chiffrement des données au repos dans le](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) manuel *Amazon Elastic File System User Guide*.
## [EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie :** Restaurer > Résilience > Backup
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les systèmes de fichiers Amazon Elastic File System (Amazon EFS) sont ajoutés aux plans de sauvegarde AWS Backup. Le contrôle échoue si les systèmes de fichiers Amazon EFS ne sont pas inclus dans les plans de sauvegarde.
L'inclusion des systèmes de fichiers EFS dans les plans de sauvegarde vous aide à protéger vos données contre la suppression et la perte de données.
### Correction
Pour activer les sauvegardes automatiques pour un système de fichiers Amazon EFS existant, consultez [Getting started 4 : Create Amazon EFS automatic backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) dans le *manuel du AWS Backup développeur*.
## [EFS.3] Les points d'accès EFS devraient imposer un répertoire racine
**Exigences connexes :** NIST.800-53.r5 AC-6 (10)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::AccessPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les points d'accès Amazon EFS sont configurés pour appliquer un répertoire racine. Le contrôle échoue si la valeur de `Path` est définie sur `/` (le répertoire racine par défaut du système de fichiers).
Lors de l’application forcée d’un répertoire racine, le client NFS lié au point d’accès utilise le répertoire racine configuré sur le point d’accès au lieu du répertoire racine du système de fichiers. L'application d'un répertoire racine pour un point d'accès permet de restreindre l'accès aux données en garantissant que les utilisateurs du point d'accès ne peuvent accéder qu'aux fichiers du sous-répertoire spécifié.
### Correction
Pour savoir comment appliquer un répertoire racine à un point d'accès Amazon EFS, consultez la section Application d'un [répertoire racine par un point d'accès](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) dans le *guide de l'utilisateur Amazon Elastic File System*.
## [EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
**Exigences connexes :** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::AccessPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les points d'accès Amazon EFS sont configurés pour renforcer l'identité d'un utilisateur. Ce contrôle échoue si aucune identité d'utilisateur POSIX n'est définie lors de la création du point d'accès EFS.
Les points d’accès Amazon EFS sont des points d’entrée spécifiques à l’application dans un système de fichiers EFS, lesquels facilitent la gestion de l’accès des applications aux jeux de données partagés. Les points d’accès peuvent appliquer de manière forcée une identité d’utilisateur, y compris les groupes POSIX de l’utilisateur, pour toutes les demandes de système de fichiers effectuées via le point d’accès. Les points d’accès peuvent également appliquer de manière forcée un répertoire racine différent pour le système de fichiers afin que les clients puissent uniquement accéder aux données stockées dans le répertoire spécifié ou dans les sous-répertoires.
### Correction
Pour renforcer l'identité d'un utilisateur pour un point d'accès Amazon EFS, consultez la section [Renforcer l'identité d'un utilisateur à l'aide d'un point d'accès](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) dans le *guide de l'utilisateur Amazon Elastic File System*.
## [EFS.5] Les points d'accès EFS doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EFS::AccessPoint`
**AWS Config règle :** `tagged-efs-accesspoint` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un point d'accès Amazon EFS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point d'accès ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point d'accès n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un point d'accès EFS, consultez la section [Marquage des ressources Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) dans le manuel *Amazon Elastic File System User Guide*.
## [EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement
**Catégorie :** Protéger > Sécurité du réseau > Ressources non accessibles au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une cible de montage Amazon EFS est associée à des sous-réseaux qui attribuent des adresses IP publiques lors du lancement. Le contrôle échoue si la cible de montage est associée à des sous-réseaux qui attribuent des adresses IP publiques au lancement.
Les sous-réseaux possèdent des attributs qui déterminent si les interfaces réseau reçoivent automatiquement le public IPv4 et les IPv6 adresses. Pour IPv4, cet attribut est défini sur pour les sous-réseaux par défaut et `TRUE` `FALSE` pour les sous-réseaux autres que ceux par défaut (à l'exception des sous-réseaux autres que ceux par défaut créés via l'assistant de lancement d'instance EC2, où il est défini sur). `TRUE` Car IPv6, cet attribut est défini sur tous `FALSE` les sous-réseaux par défaut. Lorsque ces attributs sont activés, les instances lancées dans le sous-réseau reçoivent automatiquement les adresses IP correspondantes (IPv4 ou IPv6) sur leur interface réseau principale. Les cibles de montage Amazon EFS lancées dans des sous-réseaux sur lesquels cet attribut est activé disposent d'une adresse IP publique attribuée à leur interface réseau principale.
### Correction
Pour associer une cible de montage existante à un sous-réseau différent, vous devez créer une nouvelle cible de montage dans un sous-réseau qui n'attribue pas d'adresses IP publiques au lancement, puis supprimer l'ancienne cible de montage. Pour plus d'informations sur la gestion des cibles de montage, consultez la section [Création et gestion des cibles de montage et des groupes de sécurité](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) dans le manuel *Amazon Elastic File System User Guide*.
## [EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les sauvegardes automatiques sont activées sur un système de fichiers Amazon EFS. Ce contrôle échoue si les sauvegardes automatiques ne sont pas activées dans le système de fichiers EFS.
Une sauvegarde de données est une copie des données de votre système, de votre configuration ou de votre application qui est stockée séparément de l'original. L'activation de sauvegardes régulières vous permet de protéger les données importantes contre les événements imprévus tels que les défaillances du système, les cyberattaques ou les suppressions accidentelles. Une stratégie de sauvegarde robuste permet également une restauration plus rapide, la continuité des activités et une tranquillité d'esprit face à une perte de données potentielle.
### Correction
Pour plus d'informations sur l'utilisation AWS Backup des systèmes de fichiers EFS, consultez la section [Sauvegarde des systèmes de fichiers EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) dans le manuel *Amazon Elastic File System User Guide*.
## [EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.3.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un système de fichiers Amazon EFS chiffre les données avec AWS Key Management Service (AWS KMS). Le contrôle échoue si le système de fichiers n'est pas chiffré.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour activer le chiffrement au repos pour un nouveau système de fichiers EFS, consultez la section [Chiffrement des données au repos](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) dans le manuel *Amazon Elastic File System User Guide*.
# Contrôles Security Hub CSPM pour Amazon EKS
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon Elastic Kubernetes Service (Amazon EKS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un point de terminaison d'un cluster Amazon EKS est accessible au public. Le contrôle échoue si un cluster EKS possède un point de terminaison accessible au public.
Lorsque vous créez un nouveau cluster, Amazon EKS crée un point de terminaison pour le serveur d'API Kubernetes géré que vous utilisez pour communiquer avec votre cluster. Par défaut, ce point de terminaison du serveur d'API est accessible au public sur Internet. L'accès au serveur d'API est sécurisé à l'aide d'une combinaison de Gestion des identités et des accès AWS (IAM) et de contrôle d'accès basé sur les rôles (RBAC) Kubernetes natif. En supprimant l'accès public au point de terminaison, vous pouvez éviter une exposition et un accès involontaires à votre cluster.
### Correction
Pour modifier l'accès aux points de terminaison pour un cluster EKS existant, consultez la section [Modification de l'accès aux points de terminaison du cluster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) dans le **guide de l'utilisateur Amazon EKS**. Vous pouvez configurer l'accès aux terminaux pour un nouveau cluster EKS lors de sa création. Pour obtenir des instructions sur la création d'un nouveau cluster Amazon EKS, consultez la section [Création d'un cluster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), nIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `oldestVersionSupported`: `1.33` (non personnalisable)
Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. Le contrôle échoue si le cluster EKS s'exécute sur une version non prise en charge.
Si votre application ne nécessite pas de version spécifique de Kubernetes, nous vous recommandons d'utiliser la dernière version disponible de Kubernetes prise en charge par EKS pour vos clusters. **Pour plus d'informations, consultez le [calendrier de publication d'Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) et [Comprendre le cycle de vie des versions de Kubernetes sur Amazon EKS dans le guide de l'utilisateur d'Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**
### Correction
Pour mettre à jour un cluster EKS, consultez la section [Mettre à jour un cluster existant vers une nouvelle version de Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) dans le guide de l'utilisateur **Amazon EKS**.
## [EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
**Exigences connexes :** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon EKS utilise des secrets Kubernetes chiffrés. Le contrôle échoue si les secrets Kubernetes du cluster ne sont pas chiffrés.
Lorsque vous chiffrez des secrets, vous pouvez utiliser les clés AWS Key Management Service (AWS KMS) pour chiffrer l'enveloppe des secrets Kubernetes stockés dans etcd pour votre cluster. Ce chiffrement s'ajoute au chiffrement des volumes EBS activé par défaut pour toutes les données (y compris les secrets) stockées dans etcd dans le cadre d'un cluster EKS. L'utilisation du chiffrement des secrets pour votre cluster EKS vous permet de déployer une stratégie de défense approfondie pour les applications Kubernetes en chiffrant les secrets Kubernetes à l'aide d'une clé KMS que vous définissez et gérez.
### Correction
Pour activer le chiffrement secret sur un cluster EKS, consultez la section [Activation du chiffrement secret sur un cluster existant](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.6] Les clusters EKS doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EKS::Cluster`
**AWS Config règle :** `tagged-eks-cluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster Amazon EKS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un cluster EKS, consultez la section [Marquage de vos ressources Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EKS::IdentityProviderConfig`
**AWS Config règle :** `tagged-eks-identityproviderconfig` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une configuration de fournisseur d'identité Amazon EKS comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la configuration ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises aux configurations d'un fournisseur d'identité EKS, consultez la section [Marquage de vos ressources Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.8] La journalisation des audits doit être activée sur les clusters EKS
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `logTypes: audit`(non personnalisable)
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon EKS. Le contrôle échoue si la journalisation des audits n'est pas activée pour le cluster.
**Note**
Ce contrôle ne vérifie pas si la journalisation des audits Amazon EKS est activée via Amazon Security Lake pour le Compte AWS.
La journalisation du plan de contrôle EKS fournit des journaux d'audit et de diagnostic directement depuis le plan de contrôle EKS vers Amazon CloudWatch Logs dans votre compte. Vous pouvez sélectionner les types de journaux dont vous avez besoin, et les journaux sont envoyés sous forme de flux de journaux à un groupe pour chaque cluster EKS inclus CloudWatch. La journalisation fournit une visibilité sur l'accès et les performances des clusters EKS. En envoyant les journaux du plan de contrôle EKS pour vos clusters EKS à CloudWatch Logs, vous pouvez enregistrer les opérations à des fins d'audit et de diagnostic dans un emplacement central.
### Correction
Pour activer les journaux d'audit pour votre cluster EKS, consultez la section [Activation et désactivation des journaux du plan de contrôle](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) dans le **guide de l'utilisateur Amazon EKS**.
# Contrôles Security Hub CSPM pour ElastiCache
Ces AWS Security Hub CSPM contrôles évaluent le ElastiCache service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Élevée
**Type de ressource :**`AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `snapshotRetentionPeriod` | Durée minimale de conservation des instantanés en jours | Entier | `1` sur `35` | `1` |
Ce contrôle évalue si les sauvegardes automatiques sont activées sur un cluster Amazon ElastiCache (Redis OSS). Le contrôle échoue si `SnapshotRetentionLimit` le cluster Redis OSS est inférieur à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub CSPM utilise une valeur par défaut de 1 jour.
ElastiCache Les clusters (Redis OSS) peuvent sauvegarder leurs données. Vous pouvez utiliser la sauvegarde pour restaurer un cluster ou en créer un nouveau. La sauvegarde comprend les métadonnées du cluster, ainsi que toutes les données du cluster. Toutes les sauvegardes sont écrites sur Amazon S3, qui fournit un stockage durable. Vous pouvez restaurer vos données en créant un nouveau ElastiCache cluster et en le remplissant avec les données d'une sauvegarde. Vous pouvez gérer les sauvegardes à l'aide de l'API AWS Management Console AWS CLI, du et de l' ElastiCache API.
**Note**
Ce contrôle évalue également les groupes de ElastiCache réplication (Redis OSS et Valkey).
### Correction
Pour plus d'informations sur la planification de sauvegardes automatiques pour un ElastiCache cluster, consultez la section [Planification de sauvegardes automatiques](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) dans le *guide de ElastiCache l'utilisateur Amazon*.
## [ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5) PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::ElastiCache::CacheCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle évalue si Amazon applique ElastiCache automatiquement les mises à niveau de versions mineures à un cluster de cache. Le contrôle échoue si aucune mise à niveau de version mineure n'est automatiquement appliquée au cluster de cache.
**Note**
Ce contrôle ne s'applique pas aux clusters ElastiCache Memcached.
La mise à niveau automatique des versions mineures est une fonctionnalité que vous pouvez activer sur Amazon ElastiCache pour mettre à niveau automatiquement vos clusters de cache lorsqu'une nouvelle version du moteur de cache secondaire est disponible. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. S'en up-to-date tenir à l'installation des correctifs est une étape importante de la sécurisation des systèmes.
### Correction
Pour appliquer automatiquement des mises à niveau de versions mineures à un cluster de ElastiCache cache existant, consultez [la section Gestion des versions ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) dans le *guide de ElastiCache l'utilisateur Amazon*.
## [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le basculement automatique est activé pour un groupe de ElastiCache réplication. Le contrôle échoue si le basculement automatique n'est pas activé pour un groupe de réplication.
Lorsque le basculement automatique est activé pour un groupe de réplication, le rôle du nœud principal passe automatiquement à l'une des répliques lues. Cette promotion basée sur le basculement et les répliques vous permet de reprendre l'écriture vers le nouveau serveur principal une fois la promotion terminée, ce qui réduit le temps d'arrêt global en cas de panne.
### Correction
Pour activer le basculement automatique pour un groupe de ElastiCache réplication existant, consultez la section [Modification d'un ElastiCache cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) dans le *guide de l' ElastiCache utilisateur Amazon*. Si vous utilisez la ElastiCache console, réglez le **basculement automatique** sur Activé.
## [ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe ElastiCache de réplication est chiffré au repos. Le contrôle échoue si le groupe de réplication n'est pas chiffré au repos.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. ElastiCache Les groupes de réplication (Redis OSS) doivent être chiffrés au repos pour renforcer la sécurité.
### Correction
Pour configurer le chiffrement au repos sur un groupe de ElastiCache réplication, consultez la section [Activation du chiffrement au repos](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) dans le guide de * ElastiCache l'utilisateur Amazon*.
## [ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe ElastiCache de réplication est chiffré en transit. Le contrôle échoue si le groupe de réplication n'est pas chiffré pendant le transit.
Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau. L'activation du chiffrement en transit sur un groupe de ElastiCache réplication chiffre vos données chaque fois qu'elles sont déplacées d'un endroit à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application.
### Correction
Pour configurer le chiffrement en transit sur un groupe de ElastiCache réplication, consultez la section [Activation du chiffrement en transit dans le](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) guide de * ElastiCache l'utilisateur Amazon*.
## [ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si Redis OSS AUTH est activé sur un groupe de réplication ElastiCache (Redis OSS). Le contrôle échoue si la version Redis OSS des nœuds du groupe de réplication est inférieure à 6.0 et `AuthToken` n'est pas utilisée.
Lorsque vous utilisez des jetons d'authentification ou des mots de passe Redis, Redis exige un mot de passe avant d'autoriser les clients à exécuter des commandes, ce qui améliore la sécurité des données. Pour Redis 6.0 et les versions ultérieures, nous recommandons d'utiliser le contrôle d'accès basé sur les rôles (RBAC). Le RBAC n'étant pas pris en charge pour les versions de Redis antérieures à 6.0, ce contrôle évalue uniquement les versions qui ne peuvent pas utiliser la fonctionnalité RBAC.
### Correction
*Pour utiliser Redis AUTH sur un groupe de réplication ElastiCache (Redis OSS), consultez la section [Modification du jeton AUTH sur un cluster ElastiCache (Redis OSS) existant dans le guide de l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token). ElastiCache *
## [ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::ElastiCache::CacheCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un ElastiCache cluster est configuré avec un groupe de sous-réseaux personnalisé. Le contrôle échoue si `CacheSubnetGroupName` un ElastiCache cluster possède la valeur`default`.
Lors du lancement d'un ElastiCache cluster, un groupe de sous-réseaux par défaut est créé s'il n'en existe pas déjà un. Le groupe par défaut utilise les sous-réseaux du Virtual Private Cloud (VPC) par défaut. Nous vous recommandons d'utiliser des groupes de sous-réseaux personnalisés qui limitent davantage les sous-réseaux dans lesquels réside le cluster et le réseau dont le cluster hérite des sous-réseaux.
### Correction
Pour créer un nouveau groupe de sous-réseaux pour un ElastiCache cluster, consultez la section [Création d'un groupe de sous-réseaux](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) dans le guide de * ElastiCache l'utilisateur Amazon*.
# Contrôles CSPM du Security Hub pour Elastic Beanstalk
Ces AWS Security Hub CSPM contrôles évaluent le AWS Elastic Beanstalk service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::ElasticBeanstalk::Environment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les rapports de santé améliorés sont activés pour vos AWS Elastic Beanstalk environnements.
Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application.
Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. L'agent de santé Elastic Beanstalk, inclus dans les Amazon Machine AMIs Images () compatibles, évalue les journaux et les métriques des instances d'environnement. EC2
Pour plus d'informations, consultez la section [Rapports et surveillance de l'état améliorés](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) dans le *Guide du AWS Elastic Beanstalk développeur*.
### Correction
*Pour savoir comment activer les rapports de santé améliorés, consultez la section [Activation des rapports de santé améliorés à l'aide de la console Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) dans le manuel du développeur.AWS Elastic Beanstalk *
## [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::ElasticBeanstalk::Environment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `UpdateLevel` | Niveau de mise à jour de version | Enum | `minor`, `patch` | Aucune valeur par défaut |
Ce contrôle vérifie si les mises à jour de plateforme gérées sont activées pour un environnement Elastic Beanstalk. Le contrôle échoue si aucune mise à jour de plateforme gérée n'est activée. Par défaut, le contrôle est transmis si un type de mise à jour de plateforme est activé. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée pour exiger un niveau de mise à jour spécifique.
L'activation des mises à jour de plate-forme gérées garantit que les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement sont installés. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
### Correction
Pour activer les mises à jour de plateformes gérées, voir [Pour configurer les mises à jour de plateformes gérées sous Mises à jour de plateformes gérées](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) dans le *guide du AWS Elastic Beanstalk développeur*.
## [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::ElasticBeanstalk::Environment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `RetentionInDays` | Nombre de jours pendant lesquels consigner les événements avant leur expiration | Enum | `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653` | Aucune valeur par défaut |
Ce contrôle vérifie si un environnement Elastic Beanstalk est configuré pour envoyer des journaux à Logs. CloudWatch Le contrôle échoue si un environnement Elastic Beanstalk n'est pas configuré pour envoyer des journaux à Logs. CloudWatch Vous pouvez éventuellement fournir une valeur personnalisée pour le `RetentionInDays` paramètre si vous souhaitez que le contrôle soit transmis uniquement si les journaux sont conservés pendant le nombre de jours spécifié avant leur expiration.
CloudWatch vous aide à collecter et à surveiller diverses mesures relatives à vos applications et à vos ressources d'infrastructure. Vous pouvez également l'utiliser CloudWatch pour configurer des actions d'alarme en fonction de métriques spécifiques. Nous vous recommandons d'intégrer Elastic CloudWatch Beanstalk pour améliorer la visibilité de votre environnement Elastic Beanstalk. Les journaux Elastic Beanstalk incluent le fichier eb-activity.log, les journaux d'accès depuis l'environnement nginx ou le serveur proxy Apache, et les journaux spécifiques à un environnement.
### Correction
*Pour intégrer Elastic CloudWatch Beanstalk à Logs[, consultez la section Streaming des logs d'instance vers Logs dans le Guide du CloudWatch développeur](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming).AWS Elastic Beanstalk *
# Contrôles CSPM de Security Hub pour Elastic Load Balancing
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Elastic Load Balancing. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS
**Exigences associées :** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), 3 (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**Catégorie :** Détecter - Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la redirection HTTP vers HTTPS est configurée sur tous les écouteurs HTTP des équilibreurs de charge d'application. Le contrôle échoue si la redirection HTTP vers HTTPS n'est pas configurée pour l'un des écouteurs HTTP des équilibreurs de charge d'application.
Avant de commencer à utiliser votre Application Load Balancer, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs supportent à la fois les protocoles HTTP et HTTPS. Vous pouvez utiliser un écouteur HTTPS pour transférer le travail de chiffrement et de déchiffrement à votre équilibreur de charge. Pour appliquer le chiffrement en transit, vous devez utiliser des actions de redirection avec les équilibreurs de charge d'application pour rediriger les requêtes HTTP des clients vers une requête HTTPS sur le port 443.
Pour en savoir plus, consultez la section [Écouteurs pour vos équilibreurs de charge d'application dans le Guide de l'utilisateur pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) *de charge d'application*.
### Correction
Pour rediriger les requêtes HTTP vers HTTPS, vous devez ajouter une règle d'écoute Application Load Balancer ou modifier une règle existante.
Pour obtenir des instructions sur l'ajout d'une nouvelle règle, voir [Ajouter une règle](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) dans le *Guide de l'utilisateur pour les équilibreurs de charge d'application*. Pour **Protocole : Port**, choisissez **HTTP**, puis entrez**80**. Pour **Ajouter une action, Rediriger vers**, choisissez **HTTPS**, puis entrez**443**.
Pour obtenir des instructions sur la modification d'une règle existante, voir [Modifier une règle](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) dans le *Guide de l'utilisateur des équilibreurs de charge d'application*. Pour **Protocole : Port**, choisissez **HTTP**, puis entrez**80**. Pour **Ajouter une action, Rediriger vers**, choisissez **HTTPS**, puis entrez**443**.
## [ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, NIST.800-53.r5 SC-1 3 (5), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.8
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le Classic Load Balancer utilise les HTTPS/SSL certificats fournis par AWS Certificate Manager (ACM). Le contrôle échoue si le Classic Load Balancer configuré avec un HTTPS/SSL écouteur n'utilise pas de certificat fourni par ACM.
Pour créer un certificat, vous pouvez utiliser ACM ou un outil compatible avec les protocoles SSL et TLS, comme OpenSSL. Security Hub CSPM vous recommande d'utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge.
ACM s'intègre aux équilibreurs de charge classiques afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats.
### Correction
Pour plus d'informations sur la façon d'associer un SSL/TLS certificat ACM à un Classic Load Balancer, consultez AWS l'[article du Knowledge Center How can I associate an SSL/TLS ACM certificate with a Classic, Application ou Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/) ?
## [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.R2 3.13.8, NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si vos écouteurs Classic Load Balancer sont configurés avec le protocole HTTPS ou TLS pour les connexions frontales (client-équilibreur de charge). Le contrôle est applicable si un Classic Load Balancer possède des écouteurs. Si aucun écouteur n'est configuré sur votre Classic Load Balancer, le contrôle ne signale aucun résultat.
Le contrôle passe si les écouteurs Classic Load Balancer sont configurés avec TLS ou HTTPS pour les connexions frontales.
Le contrôle échoue si l'écouteur n'est pas configuré avec TLS ou HTTPS pour les connexions frontales.
Avant de commencer à utiliser un équilibreur de charge, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs peuvent prendre en charge à la fois le protocole HTTP et les HTTPS/TLS protocoles. Vous devez toujours utiliser un écouteur HTTPS ou TLS, afin que l'équilibreur de charge effectue le chiffrement et le déchiffrement en transit.
### Correction
Pour remédier à ce problème, mettez à jour vos écouteurs afin qu'ils utilisent le protocole TLS ou HTTPS.
**Pour remplacer tous les écouteurs non conformes par des écouteurs TLS/HTTPS**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, sous **Équilibrage de charge**, choisissez **Équilibreurs de charge**.
1. Sélectionnez votre Classic Load Balancer.
1. Sous l'onglet **Listeners**, choisissez **Edit**.
1. Pour tous les écouteurs pour lesquels le protocole **Load Balancer** n'est pas défini sur HTTPS ou SSL, modifiez le paramètre sur HTTPS ou SSL.
1. Pour tous les écouteurs modifiés, dans l'onglet **Certificats**, sélectionnez **Modifier par défaut**.
1. Pour **Certificats ACM et IAM**, sélectionnez un certificat.
1. Choisissez **Enregistrer par défaut**.
1. Après avoir mis à jour tous les écouteurs, choisissez **Enregistrer**.
## [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
**Exigences associées :** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle évalue si un Application Load Balancer est configuré pour supprimer les en-têtes HTTP non valides. Le contrôle échoue si la valeur de `routing.http.drop_invalid_header_fields.enabled` est définie sur`false`.
Par défaut, les équilibreurs de charge d'application ne sont pas configurés pour supprimer les valeurs d'en-tête HTTP non valides. La suppression de ces valeurs d'en-tête empêche les attaques de désynchronisation HTTP.
**Note**
Nous vous recommandons de désactiver ce contrôle si ELB.12 est activé sur votre compte. Pour de plus amples informations, veuillez consulter [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](#elb-12).
### Correction
Pour remédier à ce problème, configurez votre équilibreur de charge pour supprimer les champs d'en-tête non valides.
**Pour configurer l'équilibreur de charge afin de supprimer les champs d'en-tête non valides**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.
1. Choisissez un Application Load Balancer.
1. Dans **Actions**, sélectionnez **Modifier les attributs**.
1. Sous Supprimer **les champs d'en-tête non valides**, sélectionnez **Activer**.
1. Choisissez **Enregistrer**.
## [ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :**`AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée dans l'Application Load Balancer et le Classic Load Balancer. Le contrôle échoue si tel `access_logs.s3.enabled` est le cas`false`.
Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les modèles de trafic et résoudre des problèmes.
Pour en savoir plus, consultez les [journaux d'accès de votre Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) dans le *guide de l'utilisateur pour les Classic Load* Balancers.
### Correction
Pour activer les journaux d'accès, reportez-vous à l'[étape 3 : Configuration des journaux d'accès](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) dans le *Guide de l'utilisateur pour les équilibreurs de charge d'application*.
## [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée pour une application, une passerelle ou un Network Load Balancer. Le contrôle échoue si la protection contre la suppression est désactivée.
Activez la protection contre la suppression pour empêcher la suppression de votre application, de votre passerelle ou de votre Network Load Balancer.
### Correction
Pour éviter la suppression accidentelle de votre équilibreur de charge, vous pouvez activer la protection contre la suppression. Par défaut, la protection contre la suppression est désactivée pour votre équilibreur de charge.
Si vous activez la protection contre la suppression pour votre équilibreur de charge, vous devez désactiver la protection contre la suppression avant de pouvoir supprimer l'équilibreur de charge.
Pour activer la protection contre la suppression pour un Application Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Application Load* Balancers. Pour activer la protection contre la suppression pour un Gateway Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Gateway Load* Balancers. Pour activer la protection contre la suppression pour un Network Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Network Load* Balancers.
## [ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Récupération > Résilience
**Gravité : ** Faible
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**AWS Config règle :** `elb-connection-draining-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le drainage des connexions est activé sur les équilibreurs de charge classiques.
L'activation du drainage des connexions sur les équilibreurs de charge classiques garantit que l'équilibreur de charge cesse d'envoyer des demandes aux instances dont l'enregistrement est annulé ou qui ne fonctionnent pas correctement. Cela permet de maintenir ouvertes les connexions existantes. Cela est particulièrement utile pour les instances des groupes Auto Scaling, afin de garantir que les connexions ne sont pas interrompues brusquement.
### Correction
Pour activer le drainage des connexions sur les Classic Load Balancers, voir [Configurer le drainage des connexions pour votre Classic Load Balancer *dans le Guide de l'utilisateur* pour les Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html) Balancers.
## [ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.R2 3.13.8, NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (non personnalisable)
Ce contrôle vérifie si vos HTTPS/SSL écouteurs Classic Load Balancer utilisent la politique prédéfinie. `ELBSecurityPolicy-TLS-1-2-2017-01` Le contrôle échoue si les HTTPS/SSL écouteurs Classic Load Balancer ne sont pas utilisés. `ELBSecurityPolicy-TLS-1-2-2017-01`
Une politique de sécurité est une combinaison de protocoles SSL, de chiffrements et de l'option de préférence d'ordre du serveur. Des politiques prédéfinies contrôlent les chiffrements, les protocoles et les ordres de préférence à prendre en charge lors des négociations SSL entre un client et un équilibreur de charge.
L'utilisation `ELBSecurityPolicy-TLS-1-2-2017-01` peut vous aider à respecter les normes de conformité et de sécurité qui vous obligent à désactiver des versions spécifiques de SSL et TLS. Pour plus d'informations, voir [Politiques de sécurité SSL prédéfinies pour les équilibreurs de charge classiques dans le Guide de l'utilisateur pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) *de charge classiques*.
### Correction
Pour plus d'informations sur l'utilisation de la politique de sécurité prédéfinie `ELBSecurityPolicy-TLS-1-2-2017-01` avec un Classic Load Balancer, voir [Configurer les paramètres de sécurité](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) dans le *Guide de l'utilisateur pour les Classic Load* Balancers.
## [ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'équilibrage de charge entre zones est activé pour les équilibreurs de charge classiques ()CLBs. Le contrôle échoue si l'équilibrage de charge entre zones n'est pas activé pour un CLB.
Un nœud d'équilibrage de charge distribue le trafic uniquement entre les cibles enregistrées dans sa zone de disponibilité. Lorsque l'équilibrage de charge entre zones est désactivé, chaque nœud d'équilibreur de charge distribue le trafic entre les cibles enregistrées dans sa zone de disponibilité uniquement. Si le nombre de cibles enregistrées n'est pas le même dans toutes les zones de disponibilité, le trafic ne sera pas réparti uniformément et les instances d'une zone risquent d'être surutilisées par rapport aux instances d'une autre zone. Lorsque l'équilibrage de charge entre zones est activé, chaque nœud d'équilibreur de charge de votre Classic Load Balancer répartit les demandes de manière uniforme entre les instances enregistrées dans toutes les zones de disponibilité activées. Pour plus de détails, consultez la [section sur l'équilibrage de charge entre zones](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) dans le guide de l'utilisateur d'Elastic Load Balancing.
### Correction
Pour activer l'équilibrage de charge entre zones dans un Classic Load Balancer, [voir Activer l'équilibrage de charge entre zones dans *le Guide de l'utilisateur* des Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) Balancers.
## [ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un Classic Load Balancer a été configuré pour couvrir au moins le nombre spécifié de zones de disponibilité ()AZs. Le contrôle échoue si le Classic Load Balancer ne couvre pas au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Un Classic Load Balancer peut être configuré pour répartir les demandes entrantes entre les instances Amazon EC2 au sein d'une seule zone de disponibilité ou de plusieurs zones de disponibilité. Un Classic Load Balancer qui ne couvre pas plusieurs zones de disponibilité ne peut pas rediriger le trafic vers des cibles situées dans une autre zone de disponibilité si la seule zone de disponibilité configurée devient indisponible.
### Correction
Pour ajouter des zones de disponibilité à un Classic Load Balancer, consultez la section [Ajouter ou supprimer des sous-réseaux pour votre Classic Load Balancer dans *le Guide de l'utilisateur* des Classic Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) Balancers.
## [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4
**Catégorie :** Protéger > Protection des données > Intégrité des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `desyncMode`: `defensive, strictest` (non personnalisable)
Ce contrôle vérifie si un Application Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si un Application Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.
Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner un bourrage d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge des applications configurés avec le mode défensif ou le mode d'atténuation de la désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.
### Correction
Pour mettre à jour le mode d'atténuation de la désynchronisation d'un Application Load Balancer, [consultez la section Mode d'atténuation de désynchronisation](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) dans le Guide de *l'utilisateur pour les* Application Load Balancers.
## [ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un Elastic Load Balancer V2 (Application, Network ou Gateway Load Balancer) possède des instances enregistrées depuis au moins le nombre spécifié de zones de disponibilité (). AZs Le contrôle échoue si un Elastic Load Balancer V2 ne possède pas d'instances enregistrées dans au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Elastic Load Balancing distribue automatiquement votre trafic entrant sur plusieurs cibles (par exemple, des instances EC2, des conteneurs et des adresses IP) dans une ou plusieurs zones de disponibilité. Elastic Load Balancing met à l'échelle votre équilibreur de charge à mesure que votre trafic entrant change au fil du temps. Il est recommandé de configurer au moins deux zones de disponibilité pour garantir la disponibilité des services, car l'Elastic Load Balancer sera en mesure de diriger le trafic vers une autre zone de disponibilité en cas d'indisponibilité de l'une d'entre elles. La configuration de plusieurs zones de disponibilité permet d'éliminer le point de défaillance unique de l'application.
### Correction
Pour ajouter une zone de disponibilité à un Application Load Balancer, consultez [la section Zones de disponibilité de votre Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) Balancer dans *le Guide de l'utilisateur* des Application Load Balancers. Pour ajouter une zone de disponibilité à un Network Load Balancer, consultez la section [Network Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) dans le *Guide de l'utilisateur pour les Network* Load Balancers. Pour ajouter une zone de disponibilité à un Gateway Load Balancer, voir [Create a Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) dans *le Guide de l'utilisateur* des Gateway Load Balancers.
## [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4
**Catégorie :** Protéger > Protection des données > Intégrité des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `desyncMode`: `defensive, strictest` (non personnalisable)
Ce contrôle vérifie si un Classic Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si le Classic Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.
Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner le détournement d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge classiques configurés avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.
### Correction
Pour mettre à jour le mode d'atténuation de la désynchronisation sur un Classic Load Balancer, [voir Modifier le mode d'atténuation de la désynchronisation dans *le Guide de l'utilisateur* des Classic](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) Load Balancers.
## [ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF
**Exigences connexes :** NIST.800-53.r5 AC-4 (21)
**Catégorie :** Protéger > Services de protection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un Application Load Balancer est associé à une liste de contrôle d'accès AWS WAF classique ou AWS WAF Web (ACL Web). Le contrôle échoue si le `Enabled` champ de AWS WAF configuration est défini sur`false`.
AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Avec AWS WAF, vous pouvez configurer une ACL Web, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Nous vous recommandons d'associer votre Application Load Balancer à une ACL AWS WAF Web pour le protéger des attaques malveillantes.
### Correction
*Pour associer un Application Load Balancer à une ACL Web, consultez la section [Associer ou dissocier une ACL Web à une AWS ressource](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) dans le Guide du AWS WAF développeur.*
## [ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::Listener`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)
**Type de calendrier :** changement déclenché
**Paramètres `sslPolicies` :** `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (non personnalisable)
Ce contrôle vérifie si l'écouteur HTTPS d'un Application Load Balancer ou l'écouteur TLS d'un Network Load Balancer est configuré pour chiffrer les données en transit en utilisant une politique de sécurité recommandée. Le contrôle échoue si l'écouteur HTTPS ou TLS d'un équilibreur de charge n'est pas configuré pour utiliser une politique de sécurité recommandée.
Elastic Load Balancing utilise une configuration de négociation SSL, connue sous le nom *de politique de sécurité*, pour négocier les connexions entre un client et un équilibreur de charge. La politique de sécurité définit une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. L'utilisation d'une politique de sécurité recommandée pour un équilibreur de charge peut vous aider à respecter les normes de conformité et de sécurité.
### Correction
Pour plus d'informations sur les politiques de sécurité recommandées et sur la manière de mettre à jour les écouteurs, consultez les sections suivantes des *guides de l'utilisateur d'Elastic Load Balancing* [: politiques de sécurité pour les équilibreurs de charge d'application, politiques de sécurité pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html) [de charge réseau](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [mise à jour d'un écouteur HTTPS pour votre Application Load Balancer et [Mettre à jour un écouteur pour votre](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html) Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html).
## [ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::Listener`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'écouteur d'un Application Load Balancer ou d'un Network Load Balancer est configuré pour utiliser un protocole sécurisé pour le chiffrement des données en transit. Le contrôle échoue si un écouteur Application Load Balancer n'est pas configuré pour utiliser le protocole HTTPS ou si aucun écouteur Network Load Balancer n'est configuré pour utiliser le protocole TLS.
Pour chiffrer les données transmises entre un client et un équilibreur de charge, les écouteurs Elastic Load Balancer doivent être configurés de manière à utiliser les protocoles de sécurité standard du secteur : HTTPS pour les équilibreurs de charge d'application ou TLS pour les équilibreurs de charge réseau. Dans le cas contraire, les données transmises entre un client et un équilibreur de charge sont vulnérables à l'interception, à la falsification et à l'accès non autorisé. L'utilisation du protocole HTTPS ou du protocole TLS par un auditeur est conforme aux meilleures pratiques en matière de sécurité et contribue à garantir la confidentialité et l'intégrité des données lors de leur transmission. Cela est particulièrement important pour les applications qui traitent des informations sensibles ou qui doivent se conformer aux normes de sécurité qui exigent le chiffrement des données en transit.
### Correction
Pour plus d'informations sur la configuration des protocoles de sécurité pour les écouteurs, consultez les sections suivantes des *guides de l'utilisateur d'Elastic Load Balancing* : [créer un écouteur HTTPS pour votre Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) Balancer [et créer un écouteur pour votre Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html) Balancer.
## [ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le groupe cible pour les contrôles de santé des applications et des équilibreurs de charge réseau utilise un protocole de transport crypté. Le contrôle échoue si le protocole de vérification de l'état n'utilise pas le protocole HTTPS. Ce contrôle n'est pas applicable aux types de cibles Lambda.
Les équilibreurs de charge envoient des demandes de contrôle de santé aux cibles enregistrées afin de déterminer leur statut et d'acheminer le trafic en conséquence. Le protocole de vérification de l'état spécifié dans la configuration du groupe cible détermine la manière dont ces contrôles sont effectués. Lorsque les protocoles de contrôle de santé utilisent des communications non cryptées telles que le protocole HTTP, les demandes et les réponses peuvent être interceptées ou manipulées pendant la transmission. Cela permet aux attaquants d'obtenir des informations sur la configuration de l'infrastructure, d'altérer les résultats des bilans de santé ou de mener des man-in-the-middle attaques qui affectent les décisions de routage. L'utilisation du protocole HTTPS pour les bilans de santé fournit une communication cryptée entre l'équilibreur de charge et ses cibles, protégeant ainsi l'intégrité et la confidentialité des informations relatives à l'état de santé.
### Correction
Pour configurer des contrôles de santé chiffrés pour votre groupe cible Application Load Balancer, consultez la section [Mettre à jour les paramètres de contrôle de santé d'un groupe cible Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) dans le guide de l'utilisateur d'*Elastic Load Balancing*. Pour configurer des contrôles de santé chiffrés pour votre groupe cible Network Load Balancer, consultez la section [Mettre à jour les paramètres de contrôle de santé d'un groupe cible Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) dans le guide de l'utilisateur d'*Elastic Load Balancing*.
## [ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe cible Elastic Load Balancing utilise un protocole de transport crypté. Ce contrôle ne s'applique pas aux groupes cibles dotés d'un type de cible Lambda ou ALB, ni aux groupes cibles utilisant le protocole GENEVE. Le contrôle échoue si le groupe cible n'utilise pas le protocole HTTPS, TLS ou QUIC.
Le chiffrement des données en transit les protège contre toute interception par des utilisateurs non autorisés. Les groupes cibles qui utilisent des protocoles non chiffrés (HTTP, TCP, UDP) transmettent des données sans chiffrement, ce qui les rend vulnérables aux écoutes. L'utilisation de protocoles cryptés (HTTPS, TLS, QUIC) garantit la protection des données transmises entre les équilibreurs de charge et les cibles.
### Correction
Pour utiliser un protocole chiffré, vous devez créer un nouveau groupe cible avec le protocole HTTPS, TLS ou QUIC. Le protocole du groupe cible ne peut pas être modifié après sa création. Pour créer un groupe cible Application Load Balancer, consultez la section [Création d'un groupe cible pour votre Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) Balancer dans le guide de l'utilisateur d'*Elastic Load Balancing*. Pour créer un groupe cible Network Load Balancer, consultez la section [Créer un groupe cible pour votre Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) Balancer dans le guide de l'utilisateur d'*Elastic Load Balancing*.
# Security Hub CSPM pour Elasticsearch
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Elasticsearch.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
**Exigences associées :** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé.
Pour renforcer la sécurité de vos données sensibles OpenSearch, vous devez les configurer pour qu'elles soient chiffrées au repos. OpenSearch Les domaines Elasticsearch permettent de chiffrer les données au repos. Cette fonctionnalité permet AWS KMS de stocker et de gérer vos clés de chiffrement. Pour effectuer le chiffrement, elle utilise l'algorithme Advanced Encryption Standard avec des clés 256 bits (AES-256).
Pour en savoir plus sur le OpenSearch chiffrement au repos, consultez la section [Chiffrement des données au repos pour Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
Certains types d'instances, tels que `t.small` et`t.medium`, ne prennent pas en charge le chiffrement des données au repos. Pour plus de détails, consultez la section [Types d'instances pris en charge](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
### Correction
Pour activer le chiffrement au repos pour les domaines Elasticsearch nouveaux et existants, consultez la section [Activation du chiffrement des données au repos dans le manuel](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service Developer Guide*.
## [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Critique
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un VPC. Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Consultez les [politiques basées sur les ressources](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) dans le manuel *Amazon OpenSearch Service Developer Guide*. Vous devez également garantir que votre VPC est configuré conformément aux bonnes pratiques recommandées. Consultez les [meilleures pratiques de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) dans le guide de l'utilisateur Amazon *VPC*.
Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. VPCs fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité. Security Hub CSPM vous recommande de migrer les domaines Elasticsearch publics vers afin de tirer parti VPCs de ces contrôles.
### Correction
Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas ultérieurement le placer au sein d'un VPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L’inverse est également vrai. Si vous créez un domaine dans un VPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez [créer un autre domaine](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) ou désactiver ce contrôle.
Consultez la section [Lancement de vos domaines Amazon OpenSearch Service au sein d'un VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le node-to-node chiffrement est activé dans un domaine Elasticsearch. Le contrôle échoue si le node-to-node chiffrement n'est pas activé dans le domaine Elasticsearch. Le contrôle produit également des résultats erronés si une version d'Elasticsearch ne prend pas en charge les contrôles de node-to-node chiffrement.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant des attaques similaires. person-in-the-middle Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour les domaines Elasticsearch garantit que les communications intra-cluster sont chiffrées en transit.
Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.
### Correction
Pour plus d'informations sur l'activation du node-to-node chiffrement sur les domaines nouveaux et existants, consultez la section [Activation du node-to-node chiffrement](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `logtype = 'error'`(non personnalisable)
Ce contrôle vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs.
Vous devez activer les journaux d'erreurs pour les domaines Elasticsearch et les envoyer à CloudWatch Logs pour qu'ils soient conservés et répondus. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
### Correction
Pour plus d'informations sur la façon d'activer la publication de journaux, consultez la section [Activation de la publication de journaux (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-audit-logging-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `cloudWatchLogsLogGroupArnList`(non personnalisable). Security Hub CSPM ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.
Cette règle s'applique `NON_COMPLIANT` si le groupe de CloudWatch journaux du domaine Elasticsearch n'est pas spécifié dans cette liste de paramètres.
Ce contrôle vérifie si la journalisation des audits est activée dans les domaines Elasticsearch. Ce contrôle échoue si la journalisation des audits n'est pas activée dans un domaine Elasticsearch.
Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos clusters Elasticsearch, notamment les réussites et les échecs d'authentification, les demandes, les modifications d' OpenSearchindex et les requêtes de recherche entrantes.
### Correction
Pour obtenir des instructions détaillées sur l'activation des journaux d'audit, consultez la section [Activation des journaux d'audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-data-node-fault-tolerance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds de données et `zoneAwarenessEnabled` s'ils le sont. `true`
Un domaine Elasticsearch nécessite au moins trois nœuds de données pour garantir une haute disponibilité et une tolérance aux pannes. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.
### Correction
**Pour modifier le nombre de nœuds de données dans un domaine Elasticsearch**
1. Ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Sous **Domaines**, choisissez le nom du domaine que vous souhaitez modifier.
1. Choisissez **Edit domain (Modifier le domaine)**.
1. Sous **Nœuds de données**, définissez **Nombre de nœuds** sur un nombre supérieur ou égal à`3`.
Pour trois déploiements de zones de disponibilité, définissez un multiple de trois afin de garantir une distribution égale entre les zones de disponibilité.
1. Sélectionnez **Soumettre**.
## [ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-primary-node-fault-tolerance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds principaux dédiés. Ce contrôle échoue si le domaine n'utilise pas de nœuds principaux dédiés. Ce contrôle est effectué si les domaines Elasticsearch disposent de cinq nœuds principaux dédiés. Cependant, l'utilisation de plus de trois nœuds principaux peut s'avérer inutile pour atténuer le risque de disponibilité, ce qui entraînera des coûts supplémentaires.
Un domaine Elasticsearch nécessite au moins trois nœuds principaux dédiés pour garantir une haute disponibilité et une tolérance aux pannes. Les ressources des nœuds principaux dédiés peuvent être mises à rude épreuve lors des blue/green déploiements de nœuds de données, car il existe des nœuds supplémentaires à gérer. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds principaux dédiés garantit une capacité de ressources suffisante du nœud principal et des opérations de cluster en cas de défaillance d'un nœud.
### Correction
**Pour modifier le nombre de nœuds principaux dédiés dans un OpenSearch domaine**
1. Ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Sous **Domaines**, choisissez le nom du domaine que vous souhaitez modifier.
1. Choisissez **Edit domain (Modifier le domaine)**.
1. Sous **Nœuds maîtres dédiés**, définissez le **type d'instance** sur le type d'instance souhaité.
1. Définissez **le nombre de nœuds maîtres** égal ou supérieur à trois.
1. Sélectionnez **Soumettre**.
## [ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-https-required` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si un point de terminaison de domaine Elasticsearch est configuré pour utiliser la dernière politique de sécurité TLS. Le contrôle échoue si le point de terminaison du domaine Elasticsearch n'est pas configuré pour utiliser la dernière politique prise en charge ou s'il HTTPs n'est pas activé. La dernière politique de sécurité TLS actuellement prise en charge est`Policy-Min-TLS-1-2-PFS-2023-10`.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS. TLS 1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes de TLS.
### Correction
Pour activer le chiffrement TLS, utilisez l'opération [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API pour configurer l'[https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)objet. Cela définit le`TLSSecurityPolicy`.
## [ES.9] Les domaines Elasticsearch doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `tagged-elasticsearch-domain` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un domaine Elasticsearch possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le domaine ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le domaine n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un domaine Elasticsearch, consultez la section [Utilisation des balises](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
# Contrôles Security Hub CSPM pour Amazon EMR
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon EMR (anciennement Amazon Elastic MapReduce). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1, (7), (21), (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EMR::Cluster`
**AWS Config règle : emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les nœuds maîtres des clusters Amazon EMR possèdent des adresses IP publiques. Le contrôle échoue si des adresses IP publiques sont associées à l'une des instances du nœud maître.
Les adresses IP publiques sont désignées dans le `PublicIp` champ de `NetworkInterfaces` configuration de l'instance. Ce contrôle vérifie uniquement les clusters Amazon EMR qui sont à l'état `RUNNING` or`WAITING`.
### Correction
Lors du lancement, vous pouvez contrôler si une adresse publique IPv4 est attribuée à votre instance dans un sous-réseau par défaut ou non par défaut. Par défaut, cet attribut est défini sur les sous-réseaux par défaut. `true` Les sous-réseaux autres que ceux par défaut ont l'attribut d'adressage IPv4 public défini sur`false`, sauf s'il a été créé par l'assistant d'instance de EC2 lancement d'Amazon. Dans ce cas, l'attribut est défini sur`true`.
Après le lancement, vous ne pouvez pas dissocier manuellement une IPv4 adresse publique de votre instance.
Pour remédier à un échec de détection, vous devez lancer un nouveau cluster dans un VPC avec un sous-réseau privé dont l'attribut d'adressage public est IPv4 défini sur. `false` Pour obtenir des instructions, consultez la section [Lancer des clusters dans un VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) dans le guide de gestion Amazon *EMR.*
## [EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
**Exigences associées :** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si votre compte est configuré pour bloquer l'accès public à Amazon EMR. Le contrôle échoue si le paramètre de blocage de l'accès public n'est pas activé ou si un port autre que le port 22 est autorisé.
Le blocage de l'accès public par Amazon EMR vous empêche de lancer un cluster dans un sous-réseau public si le cluster possède une configuration de sécurité qui autorise le trafic entrant depuis des adresses IP publiques sur un port. Lorsqu'un utilisateur de votre Compte AWS lance un cluster, Amazon EMR vérifie les règles de port du groupe de sécurité du cluster et les compare à vos règles de trafic entrant. Si le groupe de sécurité dispose d'une règle entrante qui ouvre des ports aux adresses IP publiques IPv4 0.0.0.0/0 ou IPv6 : :/0, et que ces ports ne sont pas spécifiés comme des exceptions pour votre compte, Amazon EMR n'autorise pas l'utilisateur à créer le cluster.
**Note**
Le blocage de l'accès public est activé par défaut. Pour améliorer la protection du compte, nous vous recommandons de le laisser activé.
### Correction
Pour configurer le blocage de l'accès public pour Amazon EMR, consultez la section Utilisation de l'accès [public bloqué par Amazon EMR dans le guide de gestion](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) Amazon *EMR*.
## [EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EMR::SecurityConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement au repos est activé dans une configuration de sécurité Amazon EMR. Le contrôle échoue si la configuration de sécurité n'active pas le chiffrement au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour activer le chiffrement au repos dans une configuration de sécurité Amazon EMR, consultez la section [Configurer le chiffrement des données dans le](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) guide de gestion Amazon *EMR.*
## [EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::EMR::SecurityConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement en transit est activé dans une configuration de sécurité Amazon EMR. Le contrôle échoue si la configuration de sécurité n'active pas le chiffrement en transit.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Pour activer le chiffrement en transit dans une configuration de sécurité Amazon EMR, consultez la section [Configurer le chiffrement des données dans le](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) guide de gestion Amazon *EMR.*
# Contrôles Security Hub CSPM pour EventBridge
Ces AWS Security Hub CSPM contrôles évaluent le EventBridge service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Events::EventBus`
**AWS Config règle :** `tagged-events-eventbus` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un bus d' EventBridge événements Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le bus d'événements ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le bus d'événements n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un bus d' EventBridge événements, consultez les [ EventBridge balises Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) dans le *guide de EventBridge l'utilisateur Amazon*.
## [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources
**Exigences associées :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7),,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité : ** Faible
**Type de ressource :** `AWS::Events::EventBus`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un bus d'événements EventBridge personnalisé Amazon est associé à une politique basée sur les ressources. Ce contrôle échoue si le bus d'événements personnalisé n'a pas de politique basée sur les ressources.
Par défaut, aucune politique basée sur les ressources n'est attachée à un bus d'événements EventBridge personnalisé. Cela permet aux principaux associés au compte d'accéder au bus d'événements. En associant une politique basée sur les ressources au bus d'événements, vous pouvez limiter l'accès au bus d'événements à des comptes spécifiques, ainsi qu'accorder intentionnellement l'accès aux entités d'un autre compte.
### Correction
*Pour associer une politique basée sur les ressources à un bus d'événements EventBridge personnalisé, consultez la section [Utilisation de politiques basées sur les ressources pour Amazon dans EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) le guide de l'utilisateur Amazon. EventBridge *
## [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Events::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la réplication des événements est activée pour un point de terminaison EventBridge mondial Amazon. Le contrôle échoue si la réplication des événements n'est pas activée pour un point de terminaison global.
Les points de terminaison mondiaux contribuent à rendre votre application tolérante aux pannes régionales. Pour commencer, affectez une surveillance d’état Amazon Route 53 au point de terminaison. Lorsque le basculement est lancé, le bilan de santé indique un état « non fonctionnel ». Quelques minutes après le lancement du basculement, tous les événements personnalisés sont routés vers un bus d’événements dans la région secondaire et sont traités par ce bus d’événements. Lorsque vous utilisez des points de terminaison globaux, vous pouvez activer la réplication d’événements. La réplication d’événements envoie tous les événements personnalisés aux bus d’événements des régions principale et secondaire à l’aide de règles gérées. Nous recommandons d'activer la réplication des événements lors de la configuration des points de terminaison globaux. La réplication d’événements vous permet de vérifier que vos points de terminaison globaux sont correctement configurés. La réplication des événements est requise pour effectuer une récupération automatique suite à un événement de basculement. Si la réplication des événements n'est pas activée, vous devrez réinitialiser manuellement le bilan de santé de Route 53 sur « sain » avant que les événements ne soient redirigés vers la région principale.
**Note**
Si vous utilisez des bus d'événements personnalisés, vous aurez besoin d'un bus pair personnalisé dans chaque région portant le même nom et le même compte pour que le basculement fonctionne correctement. L'activation de la réplication des événements peut augmenter vos coûts mensuels. Pour plus d'informations sur les tarifs, consultez [ EventBridge les tarifs Amazon](https://aws.amazon.com/eventbridge/pricing/).
### Correction
Pour activer la réplication d'événements pour les points de terminaison EventBridge globaux, consultez la section [Créer un point de terminaison global](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) dans le *guide de EventBridge l'utilisateur Amazon*. Pour **Réplication d'événements**, sélectionnez **Réplication d'événements activée**.
# Contrôles Security Hub CSPM pour Amazon Fraud Detector
Ces contrôles CSPM du Security Hub évaluent le service et les ressources d'Amazon Fraud Detector.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::EntityType`
**Règle AWS Config :** `frauddetector-entity-type-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un type d'entité Amazon Fraud Detector possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le type d'entité ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le type d'entité n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des balises à un type d'entité Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Entities**.
1. Sélectionnez un type d'entité dans la liste.
1. Dans la section des **balises de type d'entité**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::Label`
**Règle AWS Config :** `frauddetector-label-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une étiquette Amazon Fraud Detector comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'étiquette ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'étiquette n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des tags à une étiquette Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Labels**.
1. Sélectionnez une étiquette dans la liste.
1. Dans la section **des étiquettes**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::Outcome`
**Règle AWS Config :** `frauddetector-outcome-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si le résultat d'Amazon Fraud Detector comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le résultat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le résultat n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des balises à un résultat d'Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Outcomes**.
1. Sélectionnez un résultat dans la liste.
1. Dans la section **des balises de résultats**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::Variable`
**Règle AWS Config :** `frauddetector-variable-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une variable Amazon Fraud Detector possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la variable ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la variable n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des balises à une variable Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Variables**.
1. Sélectionnez une variable dans la liste.
1. Dans la section **des balises de variables**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
# Contrôles Security Hub CSPM pour Amazon FSx
Ces AWS Security Hub CSPM contrôles évaluent le FSx service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un système de fichiers Amazon FSx pour OpenZFS est configuré pour copier des balises vers des sauvegardes et des volumes. Le contrôle échoue si le système de fichiers OpenZFS n'est pas configuré pour copier les balises vers les sauvegardes et les volumes.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect important de la gouvernance et de la sécurité. Les balises vous permettent de classer vos AWS ressources de différentes manières, par exemple par objectif, propriétaire ou environnement. Cela est utile lorsque vous disposez de nombreuses ressources du même type, car vous pouvez identifier rapidement une ressource spécifique en fonction des balises que vous lui avez attribuées.
### Correction
Pour plus d'informations sur la configuration d'un système de fichiers FSx pour OpenZFS afin de copier des balises vers des sauvegardes et des volumes, consultez la section [Mise à jour d'un système de fichiers](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) dans le guide de l'utilisateur *Amazon FSx pour OpenZFS*.
## [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes
**Exigences connexes :** NIST.800-53.R5 CP-9, NIST.800-53.R5 CM-8
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un système de fichiers Amazon FSx for Lustre est configuré pour copier des balises vers des sauvegardes et des volumes. Le contrôle échoue si le système de fichiers Lustre n'est pas configuré pour copier les balises vers les sauvegardes et les volumes.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect important de la gouvernance et de la sécurité. Les balises vous permettent de classer vos AWS ressources de différentes manières, par exemple par objectif, propriétaire ou environnement. Cela est utile lorsque vous disposez de nombreuses ressources du même type, car vous pouvez identifier rapidement une ressource spécifique en fonction des balises que vous lui avez attribuées.
### Correction
Pour plus d'informations sur la configuration d'un système de fichiers FSx pour Lustre afin de copier des balises vers des sauvegardes, consultez [la section Copier des sauvegardes dans le même](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) système de fichiers Compte AWS dans le *guide de l'utilisateur d'Amazon FSx for Lustre*.
## [FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)
**Type de calendrier :** Périodique
**Paramètres :** `deploymentTypes: MULTI_AZ_1` (non personnalisable)
Ce contrôle vérifie si un système de fichiers Amazon FSx pour OpenZFS est configuré pour utiliser le type de déploiement à zones de disponibilité multiples (Multi-AZ). Le contrôle échoue si le système de fichiers n'est pas configuré pour utiliser le type de déploiement multi-AZ.
Amazon FSx pour OpenZFS prend en charge plusieurs types de déploiement pour les systèmes de fichiers : *multi-AZ (HA)*, *mono-AZ (HA) et *mono-AZ* (non-HA)*. Les types de déploiement offrent différents niveaux de disponibilité et de durabilité. Les systèmes de fichiers Multi-AZ (HA) sont composés d'une paire de serveurs de fichiers à haute disponibilité (HA) répartis sur deux zones de disponibilité ()AZs. Nous recommandons d'utiliser le type de déploiement Multi-AZ (HA) pour la plupart des charges de travail de production en raison de son modèle de haute disponibilité et de durabilité.
### Correction
Vous pouvez configurer un système de fichiers Amazon FSx pour OpenZFS afin d'utiliser le type de déploiement multi-AZ lorsque vous créez le système de fichiers. Vous ne pouvez pas modifier le type de déploiement d'un système de fichiers existant FSx pour OpenZFS.
Pour plus d'informations sur les types de déploiement et les options FSx pour les systèmes de fichiers OpenZFS, consultez les sections [Disponibilité et durabilité d'Amazon FSx pour OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) et [Gestion des ressources du système de fichiers dans le guide de l'utilisateur](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) *Amazon FSx pour* OpenZFS.
## [FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `deploymentTypes` | Liste des types de déploiement à inclure dans l'évaluation. Le contrôle génère une `FAILED` recherche si un système de fichiers n'est pas configuré pour utiliser un type de déploiement spécifié dans la liste. | Enum | `MULTI_AZ_1`, `MULTI_AZ_2` | `MULTI_AZ_1`, `MULTI_AZ_2` |
Ce contrôle vérifie si un système de fichiers Amazon FSx for NetApp ONTAP est configuré pour utiliser un type de déploiement multi-zones de disponibilité (multi-AZ). Le contrôle échoue si le système de fichiers n'est pas configuré pour utiliser un type de déploiement multi-AZ. Vous pouvez éventuellement spécifier une liste de types de déploiement à inclure dans l'évaluation.
*Amazon FSx for NetApp ONTAP prend en charge plusieurs types de déploiement pour les systèmes de fichiers : *mono-AZ 1*, *mono-AZ 2*, *Multi-AZ 1 et Multi-AZ* 2.* Les types de déploiement offrent différents niveaux de disponibilité et de durabilité. Nous recommandons d'utiliser un type de déploiement multi-AZ pour la plupart des charges de travail de production en raison du modèle de haute disponibilité et de durabilité proposé par les types de déploiement multi-AZ. Les systèmes de fichiers multi-AZ prennent en charge toutes les fonctionnalités de disponibilité et de durabilité des systèmes de fichiers mono-AZ. En outre, ils sont conçus pour garantir la disponibilité continue des données même lorsqu'une zone de disponibilité (AZ) n'est pas disponible.
### Correction
Vous ne pouvez pas modifier le type de déploiement d'un système de fichiers Amazon FSx for NetApp ONTAP existant. Toutefois, vous pouvez sauvegarder les données, puis les restaurer sur un nouveau système de fichiers utilisant un type de déploiement multi-AZ.
Pour plus d'informations sur les types de déploiement et les options FSx pour les systèmes de fichiers ONTAP, voir [Disponibilité, durabilité et options de déploiement et](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Gestion des systèmes de fichiers](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) dans le Guide de l'*utilisateur FSx pour ONTAP*.
## [FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)
**Type de calendrier :** Périodique
**Paramètres :** `deploymentTypes: MULTI_AZ_1` (non personnalisable)
Ce contrôle vérifie si un système de fichiers Amazon FSx pour Windows File Server est configuré pour utiliser le type de déploiement à zones de disponibilité multiples (Multi-AZ). Le contrôle échoue si le système de fichiers n'est pas configuré pour utiliser le type de déploiement multi-AZ.
Amazon FSx pour Windows File Server prend en charge deux types de déploiement pour les systèmes de fichiers : *mono-AZ* et *multi-AZ*. Les types de déploiement offrent différents niveaux de disponibilité et de durabilité. Les systèmes de fichiers mono-AZ sont composés d'une seule instance de serveur de fichiers Windows et d'un ensemble de volumes de stockage au sein d'une seule zone de disponibilité (AZ). Les systèmes de fichiers multi-AZ sont composés d'un cluster à haute disponibilité de serveurs de fichiers Windows répartis sur deux zones de disponibilité. Nous recommandons d'utiliser le type de déploiement multi-AZ pour la plupart des charges de travail de production en raison du modèle de haute disponibilité et de durabilité qu'il propose.
### Correction
Vous pouvez configurer un système de fichiers Amazon FSx pour Windows File Server afin d'utiliser le type de déploiement multi-AZ lorsque vous créez le système de fichiers. Vous ne pouvez pas modifier le type de déploiement d'un système de fichiers existant FSx pour Windows File Server.
Pour plus d'informations sur les types et options de déploiement FSx pour les systèmes de fichiers Windows File Server, consultez [Disponibilité et durabilité : systèmes de fichiers mono-AZ et Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) et [Getting started with Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) dans le guide de *l'utilisateur Amazon FSx pour Windows File Server*.
# Contrôles Security Hub CSPM pour Global Accelerator
Ces AWS Security Hub CSPM contrôles évaluent le AWS Global Accelerator service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GlobalAccelerator::Accelerator`
**AWS Config règle :** `tagged-globalaccelerator-accelerator` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Global Accelerator accélérateur possède des balises avec les touches spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'accélérateur ne possède aucune clé de balise ou s'il ne possède pas toutes les touches spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'accélérateur n'est marqué par aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un accélérateur global Global Accelerator, voir la section [Marquage AWS Global Accelerator dans](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) le *guide du AWS Global Accelerator développeur*.
# Contrôles Security Hub CSPM pour AWS Glue
Ces AWS Security Hub CSPM contrôles évaluent le AWS Glue service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Glue.1] les AWS Glue tâches doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Glue::Job`
**AWS Config règle :** `tagged-glue-job` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Glue tâche possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la tâche ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une AWS Glue tâche, consultez les [AWS balises AWS Glue dans](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) le *guide de AWS Glue l'utilisateur*.
## [Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Glue::MLTransform`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Non
Ce contrôle vérifie si une transformation de AWS Glue machine learning est chiffrée au repos. Le contrôle échoue si la transformation de machine learning n'est pas chiffrée au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour configurer le chiffrement pour les transformations de AWS Glue machine learning, consultez la section [Utilisation des transformations de machine learning](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) dans le *guide de AWS Glue l'utilisateur*.
## [Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::Glue::Job`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)
**Type de calendrier :** changement déclenché
**Paramètres `minimumSupportedGlueVersion` :** `3.0` (non personnalisable)
Ce contrôle vérifie si une tâche AWS Glue for Spark est configurée pour s'exécuter sur une version prise en charge de AWS Glue. Le contrôle échoue si le job Spark est configuré pour s'exécuter sur une version antérieure à la version minimale prise en charge. AWS Glue
**Note**
Ce contrôle génère également une `FAILED` recherche pour une tâche AWS Glue for Spark si la propriété AWS Glue version (`GlueVersion`) n'existe pas ou est nulle dans l'élément de configuration (CI) de la tâche. Dans de tels cas, le résultat inclut l'annotation suivante :`GlueVersion is null or missing in glueetl job configuration`. Pour résoudre ce type de `FAILED` recherche, ajoutez la `GlueVersion` propriété à la configuration de la tâche. Pour obtenir la liste des versions et des environnements d'exécution pris en charge, consultez la section [AWS Glue Versions](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) du *guide de AWS Glue l'utilisateur*.
L'exécution de tâches AWS Glue Spark sur les versions actuelles de AWS Glue permet d'optimiser les performances, la sécurité et l'accès aux dernières fonctionnalités de AWS Glue. Cela peut également aider à se prémunir contre les failles de sécurité. Par exemple, une nouvelle version peut être publiée pour fournir des mises à jour de sécurité, résoudre des problèmes ou introduire de nouvelles fonctionnalités.
### Correction
Pour plus d'informations sur la migration d'une tâche Spark vers une version compatible de AWS Glue, consultez la section [Migration AWS Glue pour les tâches Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) dans le guide de l'*AWS Glue utilisateur*.
# Contrôles Security Hub CSPM pour Amazon GuardDuty
Ces AWS Security Hub CSPM contrôles évaluent le GuardDuty service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [GuardDuty.1] GuardDuty doit être activé
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), NIST.800-53.r5 SA-1 5 (2), 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-20, NIST.800-53.r5 SA-8 NIST.800-53.R5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SA-8 NIST.800-53.R5 SI-4 NIST.800-53.r5 SC-5, NIST.800-53.R5 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), NIST.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIST.800-53.R5 SI-4 (4), NIST.800-53.R5 SI-4 (5), NIST.800-171.R2 3.4.2, NIST.800-171.R2 3.4.2, NIST.800-53.R5 800-171.R2 3.14.6, NIST.800-171.R2 3.14.7, PCI DSS v3.2.1/11.4 , PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si Amazon GuardDuty est activé dans votre GuardDuty compte et dans votre région.
Il est vivement recommandé de l'activer GuardDuty dans toutes les AWS régions prises en charge. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Cela permet également GuardDuty de surveiller CloudTrail des événements globaux Services AWS tels que IAM.
### Correction
Pour l'activer GuardDuty, consultez [Getting Started with GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.2] GuardDuty les filtres doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GuardDuty::Filter`
**AWS Config règle :** `tagged-guardduty-filter` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un GuardDuty filtre Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le filtre ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le filtre n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un GuardDuty filtre, consultez [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)le *Amazon GuardDuty API Reference*.
## [GuardDuty.3] GuardDuty IPSets doit être étiqueté
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GuardDuty::IPSet`
**AWS Config règle :** `tagged-guardduty-ipset` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un Amazon GuardDuty IPSet possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue s'il IPSet ne possède aucune clé de balise ou s'il n'a pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si elle IPSet n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un GuardDuty IPSet, consultez [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)le *Amazon GuardDuty API Reference*.
## [GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GuardDuty::Detector`
**AWS Config règle :** `tagged-guardduty-detector` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un GuardDuty détecteur Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le détecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le détecteur n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un GuardDuty détecteur, consultez [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)le *Amazon GuardDuty API Reference*.
## [GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la surveillance du journal d'audit GuardDuty EKS est activée. Pour un compte autonome, le contrôle échoue si la surveillance du journal d'audit GuardDuty EKS est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres n'ont pas activé la surveillance du journal d'audit EKS.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de surveillance du journal d'audit EKS pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel le suivi du journal d'audit GuardDuty EKS n'est pas activé. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty La surveillance du journal d'audit EKS vous aide à détecter les activités potentiellement suspectes dans vos clusters Amazon Elastic Kubernetes Service (Amazon EKS). La surveillance des journaux d'audit EKS utilise les journaux d'audit Kubernetes pour capturer les activités chronologiques des utilisateurs, des applications utilisant l'API Kubernetes et du plan de contrôle.
### Correction
Pour activer la surveillance du journal d'audit GuardDuty [EKS, consultez la section Surveillance du journal d'audit EKS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.6] La protection GuardDuty Lambda doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection GuardDuty Lambda est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty Lambda est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection Lambda n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection Lambda pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu sur lequel la protection GuardDuty Lambda n'est pas activée. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty La protection Lambda vous aide à identifier les menaces de sécurité potentielles lorsqu'une AWS Lambda fonction est invoquée. Après avoir activé la protection Lambda, GuardDuty commence à surveiller les journaux d'activité du réseau Lambda associés aux fonctions Lambda de votre. Compte AWS Lorsqu'une fonction Lambda est invoquée et GuardDuty identifie un trafic réseau suspect indiquant la présence d'un code potentiellement malveillant dans votre fonction Lambda, GuardDuty elle génère un résultat.
### Correction
*Pour activer la protection GuardDuty Lambda, consultez la section Configuration de la protection [Lambda dans](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) le guide de l'utilisateur Amazon. GuardDuty *
## [GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter > Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la surveillance du temps d'exécution GuardDuty EKS avec gestion automatisée des agents est activée. Pour un compte autonome, le contrôle échoue si GuardDuty EKS Runtime Monitoring avec gestion automatisée des agents est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres ne disposent pas d'EKS Runtime Monitoring avec gestion automatique des agents activée.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité EKS Runtime Monitoring avec gestion automatique des agents pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel GuardDuty EKS Runtime Monitoring n'est pas activé. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
La protection EKS d'Amazon GuardDuty fournit une couverture de détection des menaces pour vous aider à protéger les clusters Amazon EKS au sein de votre AWS environnement. EKS Runtime Monitoring utilise des événements au niveau du système d'exploitation pour vous aider à détecter les menaces potentielles dans les nœuds et les conteneurs EKS au sein de vos clusters EKS.
### Correction
Pour activer EKS Runtime Monitoring avec la gestion automatisée des agents, consultez la section [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les GuardDuty programmes malveillants est activée. Pour un compte autonome, le contrôle échoue si la protection contre les GuardDuty programmes malveillants est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection contre les programmes malveillants n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection contre les programmes malveillants pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué possède un compte de membre suspendu pour lequel la protection contre les GuardDuty programmes malveillants n'est pas activée. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty Malware Protection for EC2 vous aide à détecter la présence potentielle de malwares en analysant les volumes Amazon Elastic Block Store (Amazon EBS) attachés aux instances et aux charges de travail des conteneurs Amazon Elastic Compute Cloud (Amazon EC2). Malware Protection propose des options d'analyse qui vous permettent de décider si vous souhaitez inclure ou exclure des instances EC2 et des charges de travail de conteneur spécifiques au moment de l'analyse. Il offre également la possibilité de conserver les instantanés des volumes EBS attachés aux instances EC2 ou aux charges de travail des conteneurs dans vos comptes. GuardDuty Les instantanés ne sont retenus que lorsqu'un logiciel malveillant est détecté et que des résultats de protection contre les logiciels malveillants sont générés.
### Correction
Pour activer la protection contre les GuardDuty programmes malveillants pour EC2, consultez la [section Configuration de l'analyse des programmes malveillants GuardDuty initiée](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) dans le guide de * GuardDuty l'utilisateur Amazon*.
## [GuardDuty.9] La protection GuardDuty RDS doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection GuardDuty RDS est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty RDS est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection RDS n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection RDS pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel la protection GuardDuty RDS n'est pas activée. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
RDS Protection GuardDuty analyse et établit le profil de l'activité de connexion RDS pour détecter les menaces d'accès potentielles à vos bases de données Amazon Aurora (édition compatible Aurora MySQL et édition compatible Aurora PostgreSQL). Cette fonctionnalité vous permet d'identifier les comportements de connexion potentiellement suspects. La protection RDS ne nécessite aucune infrastructure supplémentaire ; elle est conçue de manière à ne pas affecter les performances de vos instances de base de données. Lorsque RDS Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, elle GuardDuty génère une nouvelle découverte contenant des informations sur la base de données potentiellement compromise.
### Correction
Pour activer la protection GuardDuty RDS, consultez GuardDuty la section [Protection](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) du guide de * GuardDuty l'utilisateur Amazon*.
## [GuardDuty.10] La protection GuardDuty S3 doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection GuardDuty S3 est activée. Pour un compte autonome, le contrôle échoue si GuardDuty S3 Protection est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si S3 Protection n'est pas activé sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection S3 pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel GuardDuty S3 Protection n'est pas activé. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
S3 Protection permet GuardDuty de surveiller les opérations d'API au niveau des objets afin d'identifier les risques de sécurité potentiels pour les données contenues dans vos compartiments Amazon Simple Storage Service (Amazon S3). GuardDuty surveille les menaces qui pèsent sur vos ressources S3 en analysant les événements AWS CloudTrail de gestion et les événements liés aux données CloudTrail S3.
### Correction
Pour activer la protection GuardDuty S3, consultez [Amazon S3 Protection dans Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée
**Catégorie :** Détecter > Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le Runtime Monitoring est activé sur Amazon GuardDuty. Pour un compte autonome, le contrôle échoue si la surveillance du temps GuardDuty d'exécution est désactivée pour le compte. Dans un environnement multi-comptes, le contrôle échoue si la surveillance du temps GuardDuty d'exécution est désactivée pour le compte GuardDuty administrateur délégué et pour tous les comptes membres.
Dans un environnement multi-comptes, seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps GuardDuty d'exécution pour les comptes de son organisation. En outre, seul l' GuardDuty administrateur peut configurer et gérer les agents de sécurité GuardDuty utilisés pour la surveillance de l'exécution des AWS charges de travail et des ressources des comptes de l'organisation. GuardDuty les comptes membres ne peuvent pas activer, configurer ou désactiver la surveillance du temps d'exécution pour leurs propres comptes.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles, telles que les clusters Amazon EKS et les instances Amazon EC2.
### Correction
Pour plus d'informations sur la configuration et l'activation de la surveillance du temps GuardDuty d'exécution, consultez la section [Surveillance du temps GuardDuty d' GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)[exécution et activation de la surveillance](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) du temps d'exécution dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée
**Catégorie :** Détecter > Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'agent de sécurité GuardDuty automatique Amazon est activé pour la surveillance de l'exécution des clusters Amazon ECS sur AWS Fargate. Pour un compte autonome, le contrôle échoue si l'agent de sécurité est désactivé pour le compte. Dans un environnement multi-comptes, le contrôle échoue si l'agent de sécurité est désactivé pour le compte d' GuardDutyadministrateur délégué et pour tous les comptes de membres.
Dans un environnement multi-comptes, ce contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Cela est dû au fait que seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps d'exécution des ressources ECS-Fargate pour les comptes de son organisation. GuardDuty les comptes des membres ne peuvent pas le faire pour leurs propres comptes. En outre, ce contrôle génère des `FAILED` résultats s'il GuardDuty est suspendu pour un compte membre et si la surveillance du temps d'exécution des ressources ECS-Fargate est désactivée pour le compte membre. Pour recevoir une `PASSED` constatation, l' GuardDuty administrateur doit dissocier le compte du membre suspendu de son compte administrateur en utilisant GuardDuty.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles. Cela inclut les clusters Amazon ECS sur AWS Fargate.
### Correction
Pour activer et gérer l'agent de sécurité pour la surveillance du GuardDuty temps d'exécution des ressources ECS-Fargate, vous devez utiliser directement. GuardDuty Vous ne pouvez pas l'activer ou le gérer manuellement pour les ressources ECS-Fargate. Pour plus d'informations sur l'activation et la gestion de l'agent de sécurité, consultez les sections [Conditions requises pour le support AWS Fargate (Amazon ECS uniquement)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) et [Gestion de l'agent de sécurité automatisé pour AWS Fargate (Amazon ECS uniquement)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) dans le *guide de l' GuardDuty utilisateur Amazon*.
## [GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée
**Catégorie :** Détecter > Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'agent de sécurité GuardDuty automatique Amazon est activé pour la surveillance de l'exécution des instances Amazon EC2. Pour un compte autonome, le contrôle échoue si l'agent de sécurité est désactivé pour le compte. Dans un environnement multi-comptes, le contrôle échoue si l'agent de sécurité est désactivé pour le compte d' GuardDuty administrateur délégué et pour tous les comptes de membres.
Dans un environnement multi-comptes, ce contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. En effet, seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps d'exécution des instances Amazon EC2 pour les comptes de son organisation. GuardDuty les comptes des membres ne peuvent pas le faire pour leurs propres comptes. En outre, ce contrôle génère des `FAILED` résultats s'il GuardDuty est suspendu pour un compte membre et si la surveillance du temps d'exécution des instances EC2 est désactivée pour le compte membre. Pour recevoir une `PASSED` constatation, l' GuardDuty administrateur doit dissocier le compte du membre suspendu de son compte administrateur en utilisant GuardDuty.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles. Cela inclut les instances Amazon EC2.
### Correction
*Pour plus d'informations sur la configuration et la gestion de l'agent de sécurité automatique pour la surveillance du temps GuardDuty d'exécution des instances EC2, consultez [les sections Conditions préalables à la prise en charge des instances Amazon EC2 et Activation de l'agent de sécurité automatique pour](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [les instances Amazon EC2 dans le guide de l'utilisateur Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *
# Contrôles Security Hub CSPM pour Gestion des identités et des accès AWS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Gestion des identités et des accès AWS (IAM). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-2, (7),, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.4, NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::IAM::Policy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `excludePermissionBoundaryPolicy: true`(non personnalisable)
Ce contrôle vérifie si la version par défaut des politiques IAM (également appelées politiques gérées par le client) dispose d'un accès administrateur en incluant une instruction `"Effect": "Allow"` avec `"Action": "*"` over`"Resource": "*"`. Le contrôle échoue si vous disposez de politiques IAM comportant une telle déclaration.
Le contrôle vérifie uniquement les stratégies gérées par le client que vous créez. Il ne vérifie pas les politiques intégrées et AWS gérées.
Les politiques IAM définissent un ensemble de privilèges accordés aux utilisateurs, aux groupes ou aux rôles. Conformément aux conseils de sécurité standard, il est AWS recommandé d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Si vous accordez des privilèges d'administrateur complets plutôt qu'un jeu d'autorisations minimal dont l’utilisateur a besoin, les ressources risquent d'être exposées à des actions potentiellement indésirables.
Déterminez quelles tâches doivent accomplir les utilisateurs, puis créez des stratégies pour permettre à ces derniers de réaliser uniquement ces tâches, plutôt que de leur accorder des privilèges d'administrateur complets. Il est plus sûr de commencer avec un minimum d'autorisations et d’en accordez d'autres si nécessaire. Ne commencez pas avec des autorisations trop permissives, pour essayer de les restreindre plus tard.
Vous devez supprimer les politiques IAM comportant une instruction `"Effect": "Allow" ` avec `"Action": "*"` over`"Resource": "*"`.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour modifier vos politiques IAM afin qu'elles n'accordent pas tous les privilèges administratifs « \$1 », consultez la section [Modification des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dans le Guide de l'utilisateur *IAM*.
## [IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7),, (3), NIST.800-171.R2 3.1.1 NIST.800-53.r5 AC-2, NIST.800-171.R2 3.3.9 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.R2 3.3.9, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-171.R2 NIST.800-53.r5 AC-6 171.R2 3.13.3, PCI DSS v3.2.1/7.2.1 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si des politiques sont associées à vos utilisateurs IAM. Le contrôle échoue si des politiques sont associées à vos utilisateurs IAM. Les utilisateurs IAM doivent plutôt hériter des autorisations des groupes IAM ou assumer un rôle.
Par défaut, les utilisateurs, les groupes et les rôles IAM n'ont aucun accès aux AWS ressources. Les politiques IAM accordent des privilèges aux utilisateurs, aux groupes ou aux rôles. Nous vous recommandons d'appliquer les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. L'attribution de privilèges au niveau du groupe ou du rôle réduit la complexité de la gestion des accès au fur et à mesure que le nombre d'utilisateurs augmente. La simplification de la gestion des accès peut contribuer à réduire les chances pour un mandataire de recevoir ou de conserver par inadvertance des privilèges excessifs.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous n'enregistrez que les ressources mondiales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez les ressources mondiales.
### Correction
Pour résoudre ce problème, [créez un groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) et associez la politique au groupe. [Ajoutez ensuite les utilisateurs au groupe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). La stratégie est appliquée à chaque utilisateur du groupe. Pour supprimer une politique directement attachée à un utilisateur, consultez la section [Ajout et suppression d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le guide de l'*utilisateur IAM*.
## [IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.13, CIS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, NIST.800-53.r5 AC-2 (1), (3), (15), PCI AWS DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `maxAccessKeyAge`: `90` (non personnalisable)
Ce contrôle vérifie si les clés d'accès actives font l’objet d’une rotation dans un délai de 90 jours.
Nous vous recommandons vivement de ne pas générer et de supprimer toutes les clés d'accès de votre compte. La meilleure pratique recommandée consiste plutôt à créer un ou plusieurs rôles IAM ou à utiliser la [fédération](https://aws.amazon.com/identity/federation/) via AWS IAM Identity Center. Vous pouvez utiliser ces méthodes pour permettre à vos utilisateurs d'accéder au AWS Management Console et AWS CLI.
Chaque approche a ses cas d'utilisation. La fédération est généralement préférable pour les entreprises qui disposent d'un annuaire central existant ou qui prévoient d'avoir besoin d'une quantité supérieure à la limite actuelle d'utilisateurs IAM. Les applications qui s'exécutent en dehors d'un AWS environnement ont besoin de clés d'accès pour accéder aux AWS ressources par programmation.
Toutefois, si les ressources nécessitant un accès programmatique s'exécutent à l'intérieur AWS, la meilleure pratique consiste à utiliser des rôles IAM. Les rôles vous permettent d'accorder un accès à une ressource sans coder en dur un ID de clé d'accès et une clé d'accès secrète dans la configuration.
Pour en savoir plus sur la protection de vos clés d'accès et de votre compte, consultez la section [Meilleures pratiques de gestion des clés AWS d'accès](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) dans le *Références générales AWS*. Consultez également le billet de blog [Directives pour vous protéger Compte AWS lors de l'utilisation de l'accès programmatique](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).
Si vous possédez déjà une clé d'accès, Security Hub CSPM vous recommande de changer les clés d'accès tous les 90 jours. La rotation des clés d'accès permet de réduire les possibilités qu'une clé d'accès associée à un compte compromis ou résilié ne soit utilisée. Elle permet également de s’assurer qu'il n'est pas possible d'accéder aux données avec une ancienne clé qui peut avoir été perdue, compromise ou volée. Mettez toujours à jour vos applications après avoir exécuté la rotation des clés d'accès.
Les clés d'accès sont constituées d'un ID de clé d'accès et une clé d'accès secrète. Ils sont utilisés pour signer les demandes programmatiques que vous envoyez à AWS. Les utilisateurs ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques AWS depuis Outils pour Windows PowerShell ou des AWS SDKs appels HTTP directs à l'aide des opérations d'API individuelles Services AWS. AWS CLI
Si votre organisation utilise AWS IAM Identity Center (IAM Identity Center), vos utilisateurs peuvent se connecter à Active Directory, à un annuaire IAM Identity Center intégré ou à un [autre fournisseur d'identité (IdP) connecté à](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) IAM Identity Center. Ils peuvent ensuite être mappés à un rôle IAM qui leur permet d'exécuter des AWS CLI commandes ou d'appeler des opérations d' AWS API sans avoir besoin de clés d'accès. Pour en savoir plus, consultez [la section Configuration du AWS CLI à utiliser AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour effectuer une rotation des clés d'accès datant de plus de 90 jours, voir [Rotation des clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) dans le *guide de l'utilisateur d'IAM*. Suivez les instructions pour tout utilisateur dont l'**âge de la clé d'accès** est supérieur à 90 jours.
## [IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.3, CIS AWS Foundations Benchmark v3.0.0/1.4, CIS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la clé d'accès de l'utilisateur root est présente.
L'utilisateur root est l'utilisateur le plus privilégié d'un Compte AWS. AWS les clés d'accès fournissent un accès programmatique à un compte donné.
Security Hub CSPM recommande de supprimer toutes les clés d'accès associées à l'utilisateur root. Cela limite les vecteurs qui peuvent être utilisés pour compromettre votre compte. Cela incite également à créer et à utiliser comptes basés sur des rôles avec moins de privilèges.
### Correction
Pour supprimer la clé d'accès de l'utilisateur root, consultez [la section Suppression des clés d'accès de l'utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) dans le *guide de l'utilisateur IAM*. Pour supprimer les clés d'accès utilisateur root d'une entrée Compte AWS AWS GovCloud (US), voir [Supprimer les clés d'accès utilisateur root de mon AWS GovCloud (US) compte](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) dans le *guide de AWS GovCloud (US) l'utilisateur*.
## [IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.9, CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS Foundations Benchmark v1.2.0/1.2, NIST.800-53.r5 AC-2 (1), (15), (2), (6), NIST.800-53.r5 AC-3 (8), PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification AWS multifactorielle (MFA) est activée pour tous les utilisateurs IAM qui utilisent un mot de passe de console.
L'authentification multi-facteurs (MFA, Multi-Factor Authentication) ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque la MFA est activée, lorsqu'un utilisateur se connecte à un AWS site Web, il est invité à saisir son nom d'utilisateur et son mot de passe. En outre, ils sont invités à saisir un code d'authentification depuis leur dispositif AWS MFA.
Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console. L’authentification MFA est conçue pour fournir une sécurité accrue pour l'accès à la console. Le mandataire d'authentification doit posséder un dispositif qui émet une clé sensible au temps et connaître des informations d’identification.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
*Pour ajouter une authentification MFA pour les utilisateurs IAM, consultez la section [Utilisation de l'authentification multifactorielle (MFA) dans AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) le guide de l'utilisateur IAM.*
## [IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.5, CIS AWS Foundations Benchmark v3.0.0/1.6, CIS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), NIST.800-53.r5 AC-3 PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vous Compte AWS êtes autorisé à utiliser un dispositif d'authentification matérielle multifactorielle (MFA) pour vous connecter avec les informations d'identification de l'utilisateur root. Le contrôle échoue si le MFA matériel n'est pas activé ou si les périphériques MFA virtuels sont autorisés à se connecter avec les informations d'identification de l'utilisateur root.
Un appareil MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel. Nous vous recommandons d'utiliser un périphérique MFA virtuel uniquement pendant que vous attendez l'approbation de l'achat du matériel ou l'arrivée de votre matériel. Pour en savoir plus, consultez la section [Attribuer un périphérique MFA virtuel (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) dans le guide de l'utilisateur *IAM*.
**Note**
Security Hub CSPM évalue ce contrôle en fonction de la présence des informations d'identification de l'utilisateur root (profil de connexion) dans un. Compte AWS Le contrôle génère `PASSED` des résultats dans les cas suivants :
Les informations d'identification de l'utilisateur root sont présentes dans le compte et le MFA matériel est activé pour l'utilisateur root.
Les informations d'identification de l'utilisateur root ne sont pas présentes dans le compte.
Le contrôle permet de déterminer si `FAILED` les informations d'identification de l'utilisateur root sont présentes dans le compte et si le MFA matériel n'est pas activé pour l'utilisateur root.
### Correction
Pour plus d'informations sur l'activation de l'authentification multifacteur matérielle pour l'utilisateur root, reportez-vous à la section [Authentification multifactorielle correspondante Utilisateur racine d'un compte AWS dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) de l'utilisateur *IAM*.
## [IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte
**Exigences connexes :** NIST.800-53.r5 AC-2 (1), (3), (15), NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 NIST.800-171.R2 3.5.2, NIST.800-53.r5 IA-5 NIST.800-171.R2 3.5.7, NIST.800-171.R2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1, CI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `RequireUppercaseCharacters` | Exiger au moins une majuscule dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `RequireLowercaseCharacters` | Exiger au moins une minuscule dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `RequireSymbols` | Exiger au moins un symbole dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `RequireNumbers` | Exiger au moins un chiffre dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `MinimumPasswordLength` | Nombre minimum de caractères dans le mot de passe | Entier | `8` sur `128` | `8` |
| `PasswordReusePrevention` | Nombre de rotations de mots de passe avant qu'un ancien mot de passe puisse être réutilisé | Entier | `12` sur `24` | Aucune valeur par défaut |
| `MaxPasswordAge` | Nombre de jours avant l'expiration du mot de passe | Entier | `1` sur `90` | Aucune valeur par défaut |
Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise des configurations strictes. Le contrôle échoue si la politique de mot de passe n'utilise pas de configurations fortes. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub CSPM utilise les valeurs par défaut mentionnées dans le tableau précédent. Les `MaxPasswordAge` paramètres `PasswordReusePrevention` et n'ont aucune valeur par défaut. Par conséquent, si vous excluez ces paramètres, Security Hub CSPM ignore le nombre de rotations de mots de passe et l'âge des mots de passe lors de l'évaluation de ce contrôle.
Pour y accéder AWS Management Console, les utilisateurs d'IAM ont besoin de mots de passe. À titre de bonne pratique, Security Hub CSPM recommande vivement d'utiliser la fédération au lieu de créer des utilisateurs IAM. La fédération permet aux utilisateurs d'utiliser leurs informations d'identification d'entreprise existantes pour se connecter au AWS Management Console. Utilisez AWS IAM Identity Center (IAM Identity Center) pour créer ou fédérer l'utilisateur, puis assumez un rôle IAM dans un compte.
Pour en savoir plus sur les fournisseurs d'identité et la fédération, consultez la section [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) dans le *guide de l'utilisateur IAM*. Pour en savoir plus sur IAM Identity Center, consultez le [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).
Si vous devez utiliser des utilisateurs IAM, Security Hub CSPM vous recommande d'imposer la création de mots de passe utilisateur forts. Vous pouvez définir une politique de mot de passe Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe. Lorsque vous créez ou modifiez une politique de mot de passe, la plupart des paramètres de la politique de mot de passe sont appliqués la prochaine fois que les utilisateurs modifient leur mot de passe. Certains paramètres sont appliqués immédiatement.
### Correction
Pour mettre à jour votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*.
## [IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-2, (3), (15), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.R2 3.1.2, PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `maxCredentialUsageAge`: `90` (non personnalisable)
Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 90 jours.
Les utilisateurs IAM peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.
Security Hub CSPM vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées pendant 90 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la **clé d'accès, l'âge** du **mot de passe** et la **dernière activité**. Si la valeur dans l'une de ces colonnes est supérieure à 90 jours, rendez inactives les informations d'identification de ces utilisateurs.
Vous pouvez également utiliser les [rapports d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 90 jours ou plus. Vous pouvez télécharger les rapports d'identification au `.csv` format depuis la console IAM.
Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez [la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) dans le guide de l'*utilisateur IAM*.
## [IAM.9] La MFA doit être activée pour l'utilisateur root
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (15) AWS , (1), (2), (6), (8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour que l'utilisateur root IAM puisse Compte AWS se connecter à. AWS Management Console Le contrôle échoue si le MFA n'est pas activé pour l'utilisateur root du compte.
L'utilisateur root IAM d'un Compte AWS a un accès complet à tous les services et ressources du compte. Si le MFA est activé, l'utilisateur doit saisir un nom d'utilisateur, un mot de passe et un code d'authentification depuis son appareil AWS MFA afin de se connecter au. AWS Management Console La MFA ajoute une couche de protection supplémentaire en plus d'un nom d'utilisateur et d'un mot de passe.
Ce contrôle génère `PASSED` des résultats dans les cas suivants :
+ Les informations d'identification de l'utilisateur root sont présentes dans le compte et le MFA est activé pour l'utilisateur root.
+ Les informations d'identification de l'utilisateur root ne sont pas présentes dans le compte.
Le contrôle génère des `FAILED` résultats si les informations d'identification de l'utilisateur root sont présentes dans le compte et si le MFA n'est pas activé pour l'utilisateur root.
### Correction
*Pour plus d'informations sur l'activation de la MFA pour l'utilisateur root d'un Compte AWS, reportez-vous à la section [Authentification multifactorielle du Guide de Utilisateur racine d'un compte AWS l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)Gestion des identités et des accès AWS utilisateur.*
## [IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte
**Exigences connexes :** NIST.800-171.R2 3.5.2, NIST.800-171.R2 3.5.7, NIST.800-171.R2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise les configurations PCI DSS minimales suivantes.
+ `RequireUppercaseCharacters`— Exige au moins une majuscule dans le mot de passe. (Valeur par défaut = `true`)
+ `RequireLowercaseCharacters`— Exige au moins une minuscule dans le mot de passe. (Valeur par défaut = `true`)
+ `RequireNumbers`— Exige au moins un chiffre dans le mot de passe. (Valeur par défaut = `true`)
+ `MinimumPasswordLength`— Longueur minimale du mot de passe. (Par défaut = 7 ou plus)
+ `PasswordReusePrevention`— Nombre de mots de passe avant d'autoriser leur réutilisation. (Par défaut = 4)
+ `MaxPasswordAge`— Nombre de jours avant l'expiration du mot de passe. (Par défaut = 90)
**Note**
Le 30 mai 2025, Security Hub CSPM a supprimé ce contrôle de la norme PCI DSS v4.0.1. La norme PCI DSS v4.0.1 exige désormais que les mots de passe comportent au moins 8 caractères. Ce contrôle continue de s'appliquer à la norme PCI DSS v3.2.1, qui impose des exigences différentes en matière de mot de passe.
[Pour évaluer les politiques de mot de passe du compte par rapport aux exigences de la norme PCI DSS v4.0.1, vous pouvez utiliser le contrôle IAM.7.](#iam-7) Ce contrôle nécessite que les mots de passe comportent au moins 8 caractères. Il prend également en charge les valeurs personnalisées pour la longueur du mot de passe et d'autres paramètres. Le contrôle IAM.7 fait partie de la norme PCI DSS v4.0.1 du Security Hub CSPM.
### Correction
Pour mettre à jour votre politique de mot de passe afin d'utiliser la configuration recommandée, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*.
## [IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.
Le CIS recommande que la politique de mot de passe exige au moins une lettre majuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **la sécurité du mot** de passe, sélectionnez **Exiger au moins une lettre majuscule de l'alphabet latin (A—Z)**.
## [IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents. Le CIS recommande que la politique de mot de passe exige au moins une lettre minuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **renforcer le mot de passe**, sélectionnez **Exiger au moins une lettre minuscule de l'alphabet latin (A—Z**).
## [IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.R2 3.5.7
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.
Le CIS recommande que la politique de mot de passe exige au moins un symbole. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour la sécurité du **mot** de passe, sélectionnez **Exiger au moins un caractère non alphanumérique**.
## [IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.
Le CIS recommande que la politique de mot de passe exige au moins un chiffre. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **la sécurité du mot** de passe, sélectionnez **Exiger au moins un chiffre**.
## [IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.7, CIS Foundations Benchmark v3.0.0/1.8, CIS AWS Foundations Benchmark v1.4.0/1.8, CIS Foundations Benchmark v1.2.0/1.9, AWS NIST.800-171.R2 3.5.7 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe ont au moins une longueur donnée.
Le CIS recommande que la politique de mot de passe exige une longueur de mot de passe minimale de 14 caractères. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour la **longueur minimale du mot** de passe, entrez **14** ou un nombre supérieur.
## [IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.8, CIS Foundations Benchmark v3.0.0/1.9, CIS AWS Foundations Benchmark v1.4.0/1.9, CIS Foundations Benchmark v1.2.0/1.10, AWS NIST.800-171.R2 3.5.8, PCI DSS v4.0.1/8.3.7 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le nombre de mots de passe à mémoriser est défini sur 24. Le contrôle échoue si la valeur n'est pas 24.
Les politiques de mot de passe IAM peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur.
Le CIS recommande que la politique en matière de mots de passe empêche la réutilisation des mots de passe. Le fait d'empêcher la réutilisation des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **Empêcher la réutilisation du mot** de passe, entrez**24**.
## [IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les politiques de mot de passe IAM peuvent exiger la rotation ou l'expiration des mots de passe après un certain nombre de jours.
Le CIS recommande que la politique en matière de mots de passe fasse expirer les mots de passe après 90 jours ou moins. Le fait de réduire la durée de vie des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force. Il s'avère également utile d'avoir à changer régulièrement de mot de passe dans les cas suivants :
+ Les mots de passe peuvent être volés ou compromis à votre insu. Cela peut se produire si un système est compromis, si un logiciel est vulnérable ou par le biais d'une menace interne.
+ Certains filtres web ou serveurs proxy d'entreprise et d'administrations peuvent intercepter et enregistrer le trafic, même s'il est chiffré.
+ De nombreuses personnes utilisent le même mot de passe pour plusieurs systèmes (ordinateurs au bureau et à domicile, messagerie électronique, etc.).
+ Un enregistreur de frappe peut être installé sur les postes de travail des utilisateurs finaux compromis.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **Activer l'expiration du mot de passe**, entrez **90** ou un nombre inférieur.
## [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.16, CIS Foundations Benchmark v3.0.0/1.17, CIS AWS Foundations Benchmark v1.4.0/1.17, CIS Foundations Benchmark v1.2.0/1.20, NIST.800-171.R2 3.1.2, AWS PCI DSS v4.0.1/12.10.3 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (non personnalisable)
+ `policyUsageType`: `ANY` (non personnalisable)
AWS fournit un centre de support qui peut être utilisé pour la notification et la réponse aux incidents, ainsi que pour le support technique et le service client.
Créez un rôle IAM pour permettre aux utilisateurs autorisés de gérer les incidents avec AWS Support. En mettant en œuvre le moindre privilège pour le contrôle d'accès, un rôle IAM nécessitera une politique IAM appropriée pour autoriser l'accès au centre de support afin de gérer les incidents avec. Support
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour résoudre ce problème, créez un rôle permettant aux utilisateurs autorisés de gérer les Support incidents.
**Pour créer le rôle à utiliser pour l' Support accès**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation IAM, choisissez **Roles**, puis **Create role**.
1. Pour **Type de rôle**, choisissez **Autre Compte AWS**.
1. Dans le **champ Compte AWS ID de compte**, entrez l'identifiant Compte AWS auquel vous souhaitez accorder l'accès à vos ressources.
Si les utilisateurs ou les groupes qui assument ce rôle se trouvent dans le même compte, entrez le numéro de compte local.
**Note**
L'administrateur du compte spécifié peut accorder l'autorisation d'assumer ce rôle à n'importe quel utilisateur de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action `sts:AssumeRole`. Dans cette stratégie, la ressource doit être l'ARN du rôle.
1. Choisissez **Suivant : Autorisations**.
1. Recherchez la stratégie gérée `AWSSupportAccess`.
1. Activez la case à cocher de la stratégie `AWSSupportAccess` gérée.
1. Choisissez **Suivant : Balises**.
1. (Facultatif) Pour ajouter des métadonnées au rôle, associez des balises sous forme de paires clé-valeur.
Pour plus d'informations sur l'utilisation des balises dans IAM, consultez [Balisage des utilisateurs et des rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Choisissez **Suivant : Vérification**.
1. Dans le champ **Role name** (Nom de rôle), saisissez un nom pour votre rôle.
Les noms de rôles doivent être uniques au sein de votre Compte AWS. Elles ne sont pas sensibles à la casse.
1. (Facultatif) Dans le champ **Description du rôle**, saisissez la description du nouveau rôle.
1. Passez en revue les informations du rôle, puis choisissez **Create role (Créer un rôle)**.
## [IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
**Exigences connexes :** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NIST.800-171.R2 3.3.8, NIST.800-53.r5 IA-2 NIST.800-171.R2 3.5.3, NIST.800-171.R2 3.5.4, NIST.800-171.R2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2,
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour les utilisateurs IAM.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
*Pour ajouter l'authentification MFA pour les utilisateurs IAM, consultez la section Activation des [appareils MFA pour les utilisateurs AWS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) le guide de l'utilisateur IAM.*
## [IAM.20] Évitez d'utiliser l'utilisateur root
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::User`
**AWS Config règle :** `use-of-root-account-test` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un utilisateur root Compte AWS est soumis à des restrictions d'utilisation. Le contrôle évalue les ressources suivantes :
+ Rubriques Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail sentiers
+ Filtres métriques associés aux CloudTrail sentiers
+ CloudWatch Alarmes Amazon basées sur les filtres
Cette vérification permet de `FAILED` déterminer si une ou plusieurs des affirmations suivantes sont vraies :
+ Aucune CloudTrail trace n'existe dans le compte.
+ Un suivi CloudTrail est activé, mais il n'est pas configuré avec au moins un suivi multirégional incluant des événements de gestion de lecture et d'écriture.
+ Un suivi CloudTrail est activé, mais il n'est pas associé à un groupe de CloudWatch journaux Logs.
+ Le filtre métrique exact prescrit par le Center for Internet Security (CIS) n'est pas utilisé. Le filtre métrique prescrit est`'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ Aucune CloudWatch alarme basée sur le filtre métrique n'existe dans le compte.
+ CloudWatch les alarmes configurées pour envoyer une notification à la rubrique SNS associée ne se déclenchent pas en fonction de la condition de l'alarme.
+ La rubrique SNS n'est pas conforme aux [contraintes d'envoi d'un message à une rubrique SNS.](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html)
+ La rubrique SNS n'a pas au moins un abonné.
Cette vérification donne lieu à un statut de contrôle indiquant `NO_DATA` si une ou plusieurs des affirmations suivantes sont vraies :
+ Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
+ Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Cette vérification donne lieu à un statut de contrôle indiquant `WARNING` si une ou plusieurs des affirmations suivantes sont vraies :
+ Le compte courant ne possède pas la rubrique SNS référencée dans l' CloudWatch alarme.
+ Le compte actuel n'a pas accès à la rubrique SNS lorsqu'il appelle l'API `ListSubscriptionsByTopic` SNS.
**Note**
Nous vous recommandons d'utiliser les traces d'organisation pour enregistrer les événements provenant de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation aboutit à un statut de contrôle NO\$1DATA pour les contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour [effectuer des tâches de gestion des comptes et des services](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Appliquez les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour obtenir des instructions sur la configuration d'un administrateur pour une utilisation quotidienne, consultez la section [Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) dans le guide de l'*utilisateur IAM*.
### Correction
Les étapes pour résoudre ce problème incluent la configuration d'une rubrique Amazon SNS, CloudTrail d'un journal, d'un filtre métrique et d'une alarme pour le filtre métrique.
**Pour créer une rubrique Amazon SNS**
1. [Ouvrez la console Amazon SNS à l'adresse v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. Créez une rubrique Amazon SNS qui reçoit toutes les alarmes CIS.
Créez au moins un abonné à la rubrique. Pour plus d'informations, consultez [Prise en main d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le *Guide du développeur Amazon Simple Notification Service*.
Ensuite, configurez une option active CloudTrail qui s'applique à toutes les régions. Pour cela, suivez les étapes de correction dans [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1).
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous créez le filtre métrique pour ce groupe de journaux.
Enfin, créez le filtre métrique et l'alarme.
**Pour créer un filtre de métrique et une alarme**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, choisissez **Groupes de journaux**.
1. Cochez la case correspondant au groupe de CloudWatch journaux Logs associé au journal CloudTrail que vous avez créé.
1. Dans **Actions**, choisissez **Create Metric Filter**.
1. Sous **Définir le modèle**, procédez comme suit :
1. Copiez le modèle suivant, puis collez-le dans le champ **Modèle de filtre**.
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
1. Choisissez **Suivant**.
1. Sous **Affecter une métrique**, procédez comme suit :
1. Dans **Nom du filtre**, entrez le nom de votre filtre métrique.
1. Pour **Metric Namespace**, entrez**LogMetrics**.
Si vous utilisez le même espace de noms pour tous vos filtres de métriques de log CIS, toutes les métriques CIS Benchmark sont regroupées.
1. Dans **Nom de la métrique**, entrez le nom de la métrique. N'oubliez pas le nom de la métrique. Vous devrez sélectionner la métrique lorsque vous créerez l'alarme.
1. Pour **Valeur de la métrique**, saisissez **1**.
1. Choisissez **Suivant**.
1. Sous **Vérifier et créer**, vérifiez les informations que vous avez fournies pour le nouveau filtre métrique. Choisissez ensuite **Créer un filtre métrique**.
1. Dans le volet de navigation, choisissez **Log groups**, puis choisissez le filtre que vous avez créé sous **Filtres métriques**.
1. Cochez la case correspondant au filtre. Sélectionnez **Créer une alerte**.
1. Sous **Spécifier la métrique et les conditions**, procédez comme suit :
1. Sous **Conditions**, pour **Seuil**, choisissez **Static**.
1. Pour **Définir la condition de l'alarme**, choisissez **Greater/Equal**.
1. Pour **Définir la valeur de seuil**, entrez**1**.
1. Choisissez **Suivant**.
1. Sous **Configurer les actions**, procédez comme suit :
1. Sous **Déclencheur d'état** d'alarme, choisissez **En alarme**.
1. Sous **Select an SNS topic (Sélectionner une rubrique SNS)**, choisissez **Select an existing SNS topic (Sélectionner une rubrique SNS existante)**.
1. Pour **Envoyer une notification à**, entrez le nom de la rubrique SNS que vous avez créée lors de la procédure précédente.
1. Choisissez **Suivant**.
1. Sous **Ajouter un nom et une description**, entrez un **nom** et une **description** pour l'alarme, tels que**CIS-1.1-RootAccountUsage**. Ensuite, sélectionnez **Suivant**.
1. Sous **Prévisualiser et créer**, passez en revue la configuration de l'alarme. Ensuite, choisissez **Créer une alarme**.
## [IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services
**Exigences connexes :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15), (7),, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3), NIST.800-53.r5 AC-3 NIST.800-171.R2 3.1.1, NIST.800-171.R2 3.1.2 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.5, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.7, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.3.9, NIST.800-171.R2 3.3.9, NIST.800-171.R2 3.3.9, NIST.800-171.R2 171.R2 3.13.3, NIST.800-171.R2 3.13.4
**Catégorie :** Détecter > Gestion des accès sécurisés
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::Policy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `excludePermissionBoundaryPolicy`: `True` (non personnalisable)
Ce contrôle vérifie si les politiques basées sur l'identité IAM que vous créez comportent des instructions Allow qui utilisent le caractère générique\$1 pour accorder des autorisations pour toutes les actions sur n'importe quel service. Le contrôle échoue si une déclaration de politique inclut la mention « `"Effect": "Allow"` with `"Action": "Service:*"` ».
Par exemple, l'instruction suivante dans une politique entraîne un échec de recherche.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
}
```
Le contrôle échoue également si vous utilisez `"Effect": "Allow"` avec`"NotAction": "service:*"`. Dans ce cas, l'`NotAction`élément donne accès à toutes les actions d'un Service AWS, à l'exception des actions spécifiées dans`NotAction`.
Ce contrôle s'applique uniquement aux politiques IAM gérées par le client. Elle ne s'applique pas aux politiques IAM gérées par AWS.
Lorsque vous attribuez des autorisations à Services AWS, il est important de définir les actions IAM autorisées dans vos politiques IAM. Vous devez limiter les actions IAM aux seules actions nécessaires. Cela vous permet d'octroyer des autorisations avec le moindre privilège. Des politiques trop permissives peuvent entraîner une augmentation des privilèges si elles sont associées à un principal IAM qui n'a peut-être pas besoin d'autorisation.
Dans certains cas, vous souhaiterez peut-être autoriser les actions IAM qui ont un préfixe similaire, tel que `DescribeFlowLogs` et. `DescribeAvailabilityZones` Dans ces cas autorisés, vous pouvez ajouter un caractère générique suffixé au préfixe commun. Par exemple, `ec2:Describe*`.
Ce contrôle passe si vous utilisez une action IAM préfixée avec un caractère générique suffixé. Par exemple, l'instruction suivante figurant dans une politique aboutit à un résultat positif.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
```
Lorsque vous regroupez les actions IAM associées de cette manière, vous pouvez également éviter de dépasser les limites de taille de la politique IAM.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour remédier à ce problème, mettez à jour vos politiques IAM afin qu'elles n'accordent pas de privilèges administratifs « \$1 » complets. Pour plus de détails sur la modification d'une stratégie IAM, consultez la section [Modification des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dans le Guide de l'utilisateur *IAM*.
## [IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.11, CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.R2 3.1.2 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 45 jours ou plus. Pour cela, il vérifie si le `maxCredentialUsageAge` paramètre de la AWS Config règle est égal ou supérieur à 45.
Les utilisateurs peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.
CIS vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées depuis 45 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.
La AWS Config règle de ce contrôle utilise les opérations de l'[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)et, qui ne sont mises à jour que toutes les quatre heures. Les modifications apportées aux utilisateurs IAM peuvent prendre jusqu'à quatre heures pour être visibles par ce contrôle.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, vous pouvez activer l'enregistrement des ressources mondiales dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la **clé d'accès, l'âge** du **mot de passe** et la **dernière activité**. Si la valeur de l'une de ces colonnes est supérieure à 45 jours, désactivez les informations d'identification de ces utilisateurs.
Vous pouvez également utiliser les [rapports d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 45 jours ou plus. Vous pouvez télécharger les rapports d'identification au `.csv` format depuis la console IAM.
Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez [la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) dans le guide de l'*utilisateur IAM*.
## [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AccessAnalyzer::Analyzer`
**AWS Config règle :** `tagged-accessanalyzer-analyzer` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un analyseur géré par AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'analyseur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'analyseur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un analyseur, reportez-vous [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)à la référence de l'*AWS API IAM Access Analyzer*.
## [IAM.24] Les rôles IAM doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::Role`
**AWS Config règle :** `tagged-iam-role` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un rôle Gestion des identités et des accès AWS (IAM) possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le rôle ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le rôle n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un rôle IAM, consultez la section [Marquage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le guide de l'utilisateur *IAM*.
## [IAM.25] Les utilisateurs IAM doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::User`
**AWS Config règle :** `tagged-iam-user` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un utilisateur Gestion des identités et des accès AWS (IAM) possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'utilisateur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'utilisateur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un utilisateur IAM, consultez la section [Marquage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le guide de l'utilisateur *IAM*.
## [IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.18, CIS Foundations Benchmark v3.0.0/1.19 AWS
**Catégorie :** Identifier > Conformité
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::ServerCertificate`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Cela permet de vérifier si un certificat de SSL/TLS serveur actif géré dans IAM a expiré. Le contrôle échoue si le certificat de SSL/TLS serveur expiré n'est pas supprimé.
Pour activer les connexions HTTPS à votre site Web ou à votre application AWS, vous avez besoin d'un certificat de SSL/TLS serveur. Vous pouvez utiliser IAM ou AWS Certificate Manager (ACM) pour stocker et déployer des certificats de serveur. Utilisez IAM comme gestionnaire de certificats uniquement lorsque vous devez prendre en charge les connexions HTTPS dans un environnement Région AWS qui n'est pas pris en charge par ACM. IAM chiffre en toute sécurité vos clés privées et stocke la version chiffrée dans le magasin de certificats SSL IAM. IAM prend en charge le déploiement de certificats de serveur dans toutes les régions, mais vous devez obtenir votre certificat auprès d'un fournisseur externe pour pouvoir l'utiliser avec AWS. Vous ne pouvez pas télécharger de certificat ACM vers IAM. En outre, vous ne pouvez pas gérer vos certificats depuis la console IAM. La suppression SSL/TLS des certificats expirés élimine le risque qu'un certificat non valide soit accidentellement déployé sur une ressource, ce qui peut nuire à la crédibilité de l'application ou du site Web sous-jacent.
### Correction
Pour supprimer un certificat de serveur d'IAM, consultez la section [Gestion des certificats de serveur dans IAM dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) le guide de l'utilisateur d'*IAM*.
## [IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.21, CIS Foundations Benchmark v3.0.0/1.22 AWS
**Catégorie : Protection** > Gestion des accès sécurisés > Politiques IAM sécurisées
**Gravité :** Moyenne
**Type de ressource :**`AWS::IAM::Role`,`AWS::IAM::User`, `AWS::IAM::Group`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**
**Type de calendrier :** changement déclenché
**Paramètres :**
+ « PolicYarns » : « arn:aws:iam : :aws : » policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess
Ce contrôle vérifie si la politique AWS gérée est `AWSCloudShellFullAccess` attachée à une identité IAM (utilisateur, rôle ou groupe). Le contrôle échoue si la `AWSCloudShellFullAccess` politique est attachée à une identité IAM.
AWS CloudShell fournit un moyen pratique d'exécuter des commandes CLI sur Services AWS. La politique AWS gérée `AWSCloudShellFullAccess` fournit un accès complet à CloudShell, ce qui permet de charger et de télécharger des fichiers entre le système local de l'utilisateur et l' CloudShell environnement. Dans l' CloudShell environnement, un utilisateur dispose d'autorisations sudo et peut accéder à Internet. Par conséquent, l'association de cette politique gérée à une identité IAM leur permet d'installer un logiciel de transfert de fichiers et de transférer des données CloudShell vers des serveurs Internet externes. Nous vous recommandons de suivre le principe du moindre privilège et d'attribuer des autorisations plus restreintes à vos identités IAM.
### Correction
Pour dissocier la `AWSCloudShellFullAccess` politique d'une identité IAM, consultez la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le guide de l'utilisateur *IAM*.
## [IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.19, CIS Foundations Benchmark v3.0.0/1.20 AWS
**Catégorie :** Détecter > Services de détection > Surveillance des utilisations privilégiées
**Gravité :** Élevée
**Type de ressource :** `AWS::AccessAnalyzer::Analyzer`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un analyseur Compte AWS d'accès externe IAM Access Analyzer est activé. Le contrôle échoue si aucun analyseur d'accès externe n'est activé sur le compte actuellement sélectionné Région AWS.
Les analyseurs d'accès externes IAM Access Analyzer aident à identifier les ressources, telles que les buckets Amazon Simple Storage Service (Amazon S3) ou les rôles IAM, partagées avec une entité externe. Cela vous permet d'éviter tout accès involontaire à vos ressources et à vos données. L'analyseur d'accès IAM est régional et doit être activé dans chaque région. Pour identifier les ressources partagées avec des principaux externes, un analyseur d'accès utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources dans votre environnement. AWS Lorsque vous créez un analyseur d'accès externe, vous pouvez le créer et l'activer pour l'ensemble de votre organisation ou pour des comptes individuels.
**Note**
Si un compte fait partie d'une organisation AWS Organizations, ce contrôle ne prend pas en compte les analyseurs d'accès externes qui spécifient l'organisation comme zone de confiance et sont activés pour l'organisation de la région actuelle. Si votre organisation utilise ce type de configuration, envisagez de désactiver ce contrôle pour les comptes de membres individuels de votre organisation dans la région.
### Correction
Pour plus d'informations sur l'activation d'un analyseur d'accès externe dans une région spécifique, voir [Getting started with IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) dans le guide de l'utilisateur *IAM*. Vous devez activer un analyseur dans chaque région dans laquelle vous souhaitez contrôler l'accès à vos ressources.
# Contrôles CSPM du Security Hub pour Amazon Inspector
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Inspector.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le EC2 scan Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le EC2 scan Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le EC2 scan n'est pas activé pour le compte administrateur Amazon Inspector délégué et pour tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonction de EC2 numérisation pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le EC2 scan d'Amazon Inspector n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
L' EC2 analyse d'Amazon Inspector extrait les métadonnées de votre instance Amazon Elastic Compute Cloud (Amazon EC2), puis compare ces métadonnées aux règles collectées à partir des avis de sécurité afin de produire des résultats. Amazon Inspector analyse les instances pour détecter les vulnérabilités des packages et les problèmes d'accessibilité au réseau. Pour plus d'informations sur les systèmes d'exploitation pris en charge, notamment sur les systèmes d'exploitation pouvant être scannés sans agent SSM, consultez [Systèmes d'exploitation pris en charge : Amazon EC2 scanning](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).
### Correction
Pour activer le EC2 scan Amazon Inspector, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le *guide de l'utilisateur d'Amazon Inspector*.
## [Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le scan ECR d'Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le scan ECR d'Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan ECR n'est pas activé sur le compte administrateur délégué Amazon Inspector et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité d'analyse ECR pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le scan ECR d'Amazon Inspector n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
Amazon Inspector analyse les images des conteneurs stockées dans Amazon Elastic Container Registry (Amazon ECR) pour détecter les vulnérabilités logicielles afin de générer des informations sur les vulnérabilités des packages. Lorsque vous activez les scans Amazon Inspector pour Amazon ECR, vous définissez Amazon Inspector comme service de numérisation préféré pour votre registre privé. Cela remplace la numérisation de base, qui est fournie gratuitement par Amazon ECR, par une numérisation améliorée, qui est fournie et facturée via Amazon Inspector. L'analyse améliorée vous permet de bénéficier de l'analyse des vulnérabilités pour les packages de système d'exploitation et de langage de programmation au niveau du registre. Vous pouvez consulter les résultats découverts grâce à la numérisation améliorée au niveau de l'image, pour chaque couche de l'image, sur la console Amazon ECR. En outre, vous pouvez consulter et utiliser ces résultats dans d'autres services qui ne sont pas disponibles pour les résultats de numérisation de base, notamment AWS Security Hub CSPM Amazon EventBridge.
### Correction
Pour activer le scan ECR d'Amazon Inspector, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le *guide de l'utilisateur d'Amazon Inspector*.
## [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
**Exigences connexes :** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le scan du code Lambda d'Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le scan du code Lambda par Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan du code Lambda n'est pas activé sur le compte administrateur délégué Amazon Inspector et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de numérisation du code Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu sur lequel le scan du code Lambda d'Amazon Inspector n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
Le scan du code Lambda par Amazon Inspector analyse le code d'application personnalisé au sein d'une AWS Lambda fonction pour détecter les vulnérabilités du code, sur la base des meilleures pratiques AWS de sécurité. L'analyse du code Lambda permet de détecter des défauts d'injection, des fuites de données, une cryptographie faible ou un chiffrement manquant dans votre code. Cette fonctionnalité n'est disponible [Régions AWS que de manière spécifique](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](#inspector-4)
### Correction
Pour activer la numérisation du code Lambda d'Amazon Inspector, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le guide de l'*utilisateur d'Amazon Inspector*.
## [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
**Exigences connexes :** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le scan standard Amazon Inspector Lambda est activé. Pour un compte autonome, le contrôle échoue si le scan standard Amazon Inspector Lambda est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan standard Lambda n'est pas activé sur le compte administrateur Amazon Inspector délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité d'analyse standard Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le scan standard Amazon Inspector Lambda n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
L'analyse standard Amazon Inspector Lambda identifie les vulnérabilités logicielles dans les dépendances des packages d'applications que vous ajoutez à votre code de AWS Lambda fonction et à vos couches. Si Amazon Inspector détecte une vulnérabilité dans les dépendances des packages d'applications de votre fonction Lambda, Amazon Inspector produit une recherche de `Package Vulnerability` type détaillée. Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](#inspector-3)
### Correction
Pour activer le scan standard Amazon Inspector Lambda, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le guide de l'*utilisateur Amazon Inspector*.
# Contrôles Security Hub CSPM pour AWS IoT
Ces AWS Security Hub CSPM contrôles évaluent le AWS IoT service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::SecurityProfile`
**AWS Config règle :** `tagged-iot-securityprofile` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un profil AWS IoT Device Defender de sécurité comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le profil de sécurité ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil de sécurité n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un profil AWS IoT Device Defender de sécurité, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## [IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::MitigationAction`
**AWS Config règle :** `tagged-iot-mitigationaction` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une action AWS IoT Core d'atténuation comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'action d'atténuation ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'action d'atténuation n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une action AWS IoT Core d'atténuation, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::Dimension`
**AWS Config règle :** `tagged-iot-dimension` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une AWS IoT Core dimension possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la dimension ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la dimension n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une AWS IoT Core dimension, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## [IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::Authorizer`
**AWS Config règle :** `tagged-iot-authorizer` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS IoT Core autorisateur possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'autorisateur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'autorisateur n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un AWS IoT Core autorisateur, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le guide du *AWS IoT développeur*.
## Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::RoleAlias`
**AWS Config règle :** `tagged-iot-rolealias` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un alias de AWS IoT Core rôle possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'alias de rôle ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'alias de rôle n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un alias de AWS IoT Core rôle, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## Les AWS IoT Core politiques [IoT.6] doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::Policy`
**AWS Config règle :** `tagged-iot-policy` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une AWS IoT Core politique comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la politique ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une AWS IoT Core politique, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
# Contrôles Security Hub CSPM pour les événements IoT AWS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS IoT Events.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTEvents::Input`
**Règle AWS Config :** `iotevents-input-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une entrée AWS IoT Events comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'entrée ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'entrée n'est marquée par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une entrée AWS IoT Events, consultez la section [Marquage de vos AWS IoT Events ressources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) dans le *guide du AWS IoT Events développeur*.
## [Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTEvents::DetectorModel`
**Règle AWS Config :** `iotevents-detector-model-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle de détecteur AWS IoT Events possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le modèle de détecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle du détecteur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un modèle de détecteur AWS IoT Events, consultez la section [Marquage de vos AWS IoT Events ressources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) dans le *guide du AWS IoT Events développeur*.
## [Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTEvents::AlarmModel`
**Règle AWS Config :** `iotevents-alarm-model-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle d'alarme AWS IoT Events possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le modèle d'alarme ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle d'alarme n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un modèle d'alarme AWS IoT Events, consultez la section [Marquage de vos AWS IoT Events ressources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) dans le *guide du AWS IoT Events développeur*.
# Contrôles Security Hub CSPM pour l'IoT AWS SiteWise
Ces AWS Security Hub CSPM contrôles évaluent le SiteWise service et les ressources de l' AWS IoT.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::AssetModel`
**Règle AWS Config :** `iotsitewise-asset-model-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle SiteWise d'actif AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le modèle d'actif ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle d'actif n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un modèle d' SiteWise actif AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Dashboard`
**Règle AWS Config :** `iotsitewise-dashboard-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un SiteWise tableau de bord AWS IoT comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le tableau de bord ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le tableau de bord n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un tableau de SiteWise bord AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Gateway`
**Règle AWS Config :** `iotsitewise-gateway-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une SiteWise passerelle AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la passerelle ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une SiteWise passerelle AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Portal`
**Règle AWS Config :** `iotsitewise-portal-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un SiteWise portail AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le portail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le portail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un SiteWise portail AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Project`
**Règle AWS Config :** `iotsitewise-project-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un SiteWise projet AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le projet ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le projet n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un SiteWise projet AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
# Contrôles Security Hub CSPM pour l'IoT AWS TwinMaker
Ces AWS Security Hub CSPM contrôles évaluent le TwinMaker service et les ressources de l' AWS IoT.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::SyncJob`
**Règle AWS Config :** `iottwinmaker-sync-job-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une tâche de TwinMaker synchronisation AWS IoT comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la tâche de synchronisation ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche de synchronisation n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une tâche de TwinMaker synchronisation AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
## [Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::Workspace`
**Règle AWS Config :** `iottwinmaker-workspace-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un TwinMaker espace de travail AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'espace de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'espace de travail n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à un TwinMaker espace de travail AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
## [Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::Scene`
**Règle AWS Config :** `iottwinmaker-scene-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une TwinMaker scène AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la scène ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la scène n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à une TwinMaker scène AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
## [Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::Entity`
**Règle AWS Config :** `iottwinmaker-entity-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une TwinMaker entité AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'entité ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'entité n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une TwinMaker entité AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
# Contrôles Security Hub CSPM pour IoT Wireless AWS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS IoT Wireless.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTWireless::MulticastGroup`
**Règle AWS Config :** `iotwireless-multicast-group-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de multidiffusion AWS IoT Wireless possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le groupe de multidiffusion ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de multidiffusion n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un groupe de multidiffusion AWS IoT Wireless, consultez la section [Marquage de vos AWS IoT Wireless ressources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) dans le manuel du *AWS IoT Wireless développeur*.
## [Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTWireless::ServiceProfile`
**Règle AWS Config :** `iotwireless-service-profile-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un profil de service AWS IoT Wireless comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le profil de service ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil de service n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un profil de service AWS IoT Wireless, consultez la section [Marquage de vos AWS IoT Wireless ressources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) dans le *guide du AWS IoT Wireless développeur*.
## [Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTWireless::FuotaTask`
**Règle AWS Config :** `iotwireless-fuota-task-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une tâche de mise à jour du micrologiciel de l' AWS IoT Wireless over-the-air (FUOTA) comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la tâche FUOTA ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche FUOTA n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une tâche AWS IoT Wireless FUOTA, consultez la section [Marquage de vos AWS IoT Wireless ressources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) dans le guide du *AWS IoT Wireless développeur*.
# Contrôles Security Hub CSPM pour Amazon IVS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources d'Amazon Interactive Video Service (IVS).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IVS::PlaybackKeyPair`
**Règle AWS Config :** `ivs-playback-key-pair-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une paire de clés de lecture Amazon IVS possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la paire de clés de lecture ne possède aucune clé de balise ou si toutes les touches spécifiées dans le paramètre ne sont pas toutes spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la paire de clés de lecture n'est associée à aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une paire de clés de lecture IVS, consultez la référence de [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)l'*API Amazon IVS Real-Time Streaming*.
## [IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IVS::RecordingConfiguration`
**Règle AWS Config :** `ivs-recording configuration-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une configuration d'enregistrement Amazon IVS comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la configuration d'enregistrement ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration d'enregistrement n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une configuration d'enregistrement IVS, consultez la référence de [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)l'*API Amazon IVS Real-Time Streaming*.
## [IVS.3] Les canaux IVS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IVS::Channel`
**Règle AWS Config :** `ivs-channel-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une chaîne Amazon IVS possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le canal ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le canal n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à une chaîne IVS, consultez [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)le manuel *Amazon IVS Real-Time Streaming API Real-Time API Real-Time Real-Time Real-Time Real-Time Real-Time Reference*
# Contrôles Security Hub CSPM pour Amazon Keyspaces
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Keyspaces.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Cassandra::Keyspace`
**Règle AWS Config :** `cassandra-keyspace-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un espace de touches Amazon Keyspaces possède des balises avec les clés spécifiques définies dans le paramètre. `requiredKeyTags` Le contrôle échoue si le keyspace ne possède aucune clé de balise ou s'il ne contient pas toutes les touches spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le keyspace n'est marqué d'aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à un keyspace Amazon Keyspaces, consultez la section [Ajouter des tags à un keyspace dans le manuel Amazon *Keyspaces*](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) Developer Guide.
# Contrôles CSPM du Security Hub pour Kinesis
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Kinesis.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Kinesis::Stream`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les Kinesis Data Streams sont chiffrés au repos avec un chiffrement côté serveur. Ce contrôle échoue si un flux Kinesis n'est pas chiffré au repos par chiffrement côté serveur.
Le chiffrement côté serveur est une fonctionnalité d'Amazon Kinesis Data Streams qui chiffre automatiquement les données avant qu'elles ne soient inactives à l'aide d'un. AWS KMS key Les données sont chiffrées avant leur écriture sur la couche de stockage du flux Kinesis et déchiffrées après leur extraction de l'espace de stockage. Par conséquent, vos données sont chiffrées au repos dans le service Amazon Kinesis Data Streams.
### Correction
Pour plus d'informations sur l'activation du chiffrement côté serveur pour les flux Kinesis, voir [Comment démarrer](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) avec le chiffrement côté serveur ? dans le manuel *Amazon Kinesis Developer Guide*.
## [Kinesis.2] Les flux Kinesis doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Kinesis::Stream`
**AWS Config règle :** `tagged-kinesis-stream` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un flux de données Amazon Kinesis comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le flux de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un flux de données Kinesis, consultez la section [Marquage de vos flux dans Amazon Kinesis Data Streams dans le manuel Amazon Kinesis Developer](https://docs.aws.amazon.com/streams/latest/dev/tagging.html) Guide.*
## [Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
**Gravité :** Moyenne
**Type de ressource :** `AWS::Kinesis::Stream`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| minimumBackupRetentionPeriod | Nombre minimum d'heures pendant lesquelles les données doivent être conservées. | String | 24 à 8760 | 168 |
Ce contrôle vérifie si la durée de conservation des données d'un flux de données Amazon Kinesis est supérieure ou égale à la période spécifiée. Le contrôle échoue si la période de conservation des données est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des données, Security Hub CSPM utilise une valeur par défaut de 168 heures.
Dans Kinesis Data Streams, un flux de données est une séquence ordonnée d'enregistrements de données destinés à être écrits et lus en temps réel. Les enregistrements de données sont temporairement stockés sous forme de fragments dans votre flux. La période entre le moment où un enregistrement est ajouté et celui où il n'est plus accessible est appelée la période de conservation. Kinesis Data Streams rend presque immédiatement inaccessibles les enregistrements antérieurs à la nouvelle période de conservation après la réduction de la durée de conservation. Par exemple, si la période de conservation est portée de 24 heures à 48 heures, les enregistrements ajoutés au flux 23 heures 55 minutes auparavant continuent d'être disponibles au bout de 24 heures.
### Correction
Pour modifier la période de conservation des sauvegardes pour vos Kinesis Data Streams, [consultez la section Modifier la période de conservation des données dans le](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) *manuel Amazon Kinesis Data* Streams Developer Guide.
# Contrôles Security Hub CSPM pour AWS KMS
Ces AWS Security Hub CSPM contrôles évaluent le service AWS Key Management Service (AWS KMS) et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS
**Exigences associées :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::Policy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personnalisable)
+ `excludePermissionBoundaryPolicy`: `True` (non personnalisable)
Vérifie si la version par défaut des politiques gérées par le client IAM autorise les donneurs d'ordre à utiliser les actions de AWS KMS déchiffrement sur toutes les ressources. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser `kms:Decrypt` des `kms:ReEncryptFrom` actions sur toutes les clés KMS.
Le contrôle vérifie uniquement les clés KMS dans l'élément Resource et ne prend en compte aucune condition dans l'élément Condition d'une politique. En outre, le contrôle évalue les politiques gérées par le client à la fois attachées et non attachées. Il ne vérifie pas les politiques intégrées ni les politiques AWS gérées.
Avec AWS KMS, vous contrôlez qui peut utiliser vos clés KMS et accéder à vos données chiffrées. Les politiques IAM définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. Conformément aux meilleures pratiques en matière de sécurité, il est AWS recommandé d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les `kms:ReEncryptFrom` autorisations `kms:Decrypt` ou et uniquement les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.
Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui autorisent les utilisateurs à n'utiliser que ces clés. Par exemple, n'`kms:Decrypt`autorisez pas l'accès à toutes les clés KMS. Au lieu de cela, autorisez `kms:Decrypt` uniquement les clés d'une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.
### Correction
Pour modifier une politique gérée par le client IAM, consultez la section [Modification des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) dans le guide de l'*utilisateur IAM*. Lorsque vous modifiez votre politique, pour le `Resource` champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.
## [KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS
**Exigences associées :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personnalisable)
Ce contrôle vérifie si les politiques intégrées à vos identités IAM (rôle, utilisateur ou groupe) autorisent les actions de AWS KMS déchiffrement et de rechiffrement sur toutes les clés KMS. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser `kms:Decrypt` des `kms:ReEncryptFrom` actions sur toutes les clés KMS.
Le contrôle vérifie uniquement les clés KMS dans l'élément Resource et ne prend en compte aucune condition dans l'élément Condition d'une politique.
Avec AWS KMS, vous contrôlez qui peut utiliser vos clés KMS et accéder à vos données chiffrées. Les politiques IAM définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. Conformément aux meilleures pratiques en matière de sécurité, il est AWS recommandé d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les autorisations dont elles ont besoin et uniquement pour les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.
Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui permettent aux utilisateurs de n'utiliser que ces clés. Par exemple, n'`kms:Decrypt`autorisez pas l'accès à toutes les clés KMS. Au lieu de cela, autorisez l'autorisation uniquement sur des clés spécifiques dans une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.
### Correction
Pour modifier une politique intégrée IAM, consultez la section [Modification des politiques intégrées dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) de l'utilisateur *IAM*. Lorsque vous modifiez votre politique, pour le `Resource` champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.
## [KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance
**Exigences connexes :** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Critique
**Type de ressource :** `AWS::KMS::Key`
**AWS Config règle :** `kms-cmk-not-scheduled-for-deletion-2` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la suppression des clés KMS est planifiée. Le contrôle échoue si la suppression d'une clé KMS est planifiée.
Les clés KMS ne peuvent pas être récupérées une fois supprimées. Les données chiffrées sous une clé KMS sont également irrémédiablement irrécupérables si la clé KMS est supprimée. *Si des données significatives ont été chiffrées sous une clé KMS dont la suppression est prévue, envisagez de les déchiffrer ou de les rechiffrer sous une nouvelle clé KMS, sauf si vous effectuez intentionnellement un effacement cryptographique.*
Lorsqu'une clé KMS est programmée pour être supprimée, une période d'attente obligatoire est imposée afin de laisser le temps d'annuler la suppression, si elle a été planifiée par erreur. Le délai d'attente par défaut est de 30 jours, mais il peut être réduit à 7 jours lorsque la suppression de la clé KMS est planifiée. Pendant la période d'attente, la suppression planifiée peut être annulée et la clé KMS ne sera pas supprimée.
Pour plus d'informations sur la suppression des clés KMS, consultez [la section Suppression des clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) dans le *manuel du AWS Key Management Service développeur*.
### Correction
Pour annuler la suppression planifiée d'une clé KMS, voir **Pour annuler la suppression de clé** sous [Planification et annulation de la suppression de clé (console)](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) dans le *guide du AWS Key Management Service développeur*.
## La rotation des AWS KMS touches [KMS.4] doit être activée
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.6, CIS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 ( NIST.800-53.r5 SC-12), 8 (3), PCI DSS v3.2.1/3.6.4, PCI DSS NIST.800-53.r5 SC-1 v4.0.1/3.7.4 AWS NIST.800-53.r5 SC-2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::KMS::Key`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
AWS KMS permet aux clients de faire pivoter la clé de sauvegarde, qui est un élément clé stocké AWS KMS et lié à l'identifiant de clé de la clé KMS. Il s'agit de la clé de stockage utilisée pour effectuer les opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation de clé automatique conserve actuellement toutes les clés de stockage précédentes afin que le déchiffrement des données chiffrées puisse se dérouler de façon transparente.
CIS vous recommande d'activer la rotation des clés KMS. La rotation des clés de chiffrement contribue à réduire l'impact potentiel d'une clé compromise, puisque les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une ancienne clé susceptible d'avoir été exposée.
### Correction
Pour activer la rotation automatique des clés KMS, consultez la section [Comment activer et désactiver la rotation automatique des clés](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) dans le *manuel du AWS Key Management Service développeur*.
## [KMS.5] Les clés KMS ne doivent pas être accessibles au public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::KMS::Key`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si un AWS KMS key est accessible au public. Le contrôle échoue si la clé KMS est accessible au public.
La mise en œuvre de l'accès avec le moindre privilège est fondamentale pour réduire les risques de sécurité et l'impact des erreurs ou des intentions malveillantes. Si la politique clé d'un AWS KMS key autorise l'accès à partir de comptes externes, des tiers peuvent être en mesure de chiffrer et de déchiffrer les données à l'aide de la clé. Cela pourrait entraîner une menace interne ou externe exfiltrant les données des utilisateurs de Services AWS la clé.
**Note**
Ce contrôle renvoie également un `FAILED` résultat indiquant AWS KMS key si vos configurations AWS Config empêchent d'enregistrer la politique clé dans l'élément de configuration (CI) pour la clé KMS. AWS Config Pour renseigner la politique clé dans le CI pour la clé KMS, le [AWS Config rôle](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) doit avoir accès à la lecture de la politique clé à l'aide de l'appel d'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Pour résoudre ce type de problème`FAILED`, vérifiez les politiques qui peuvent empêcher le AWS Config rôle d'avoir un accès en lecture à la politique clé pour la clé KMS. Vérifiez par exemple les points suivants :
La politique clé pour la clé KMS.
Les [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) et [les politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations s'appliquent à votre compte.
Autorisations pour le AWS Config rôle, si vous n'utilisez pas le rôle [AWS Config lié au service](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
En outre, ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique clé doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
### Correction
Pour plus d'informations sur la mise à jour de la politique [clé pour un AWS KMS key, consultez la section Politiques clés](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) du *Guide du AWS Key Management Service développeur*. AWS KMS
# Contrôles Security Hub CSPM pour AWS Lambda
Ces AWS Security Hub CSPM contrôles évaluent le AWS Lambda service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la politique basée sur les ressources de la fonction Lambda interdit l'accès public en dehors de votre compte. Le contrôle échoue si l'accès public est autorisé. Le contrôle échoue également si une fonction Lambda est invoquée depuis Amazon S3 et que la politique n'inclut aucune condition limitant l'accès public, telle que. `AWS:SourceAccount` Nous vous recommandons d'utiliser d'autres conditions S3 `AWS:SourceAccount` en plus de votre politique de compartiment pour un accès plus précis.
**Note**
Ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique de la fonction Lambda doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
La fonction Lambda ne doit pas être accessible au public, car cela peut permettre un accès involontaire à votre code de fonction.
### Correction
Pour résoudre ce problème, vous devez mettre à jour la politique basée sur les ressources de votre fonction afin de supprimer les autorisations ou d'ajouter la condition. `AWS:SourceAccount` Vous ne pouvez mettre à jour la politique basée sur les ressources qu'à partir de l'API Lambda ou. AWS CLI
Pour commencer, [consultez la politique basée sur les ressources sur la console](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) Lambda. Identifiez l'énoncé de politique dont les valeurs de `Principal` champ rendent la politique publique, telles que `"*"` ou`{ "AWS": "*" }`.
Vous ne pouvez pas modifier la politique depuis la console. Pour supprimer les autorisations de la fonction, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)commande depuis AWS CLI.
```
$ aws lambda remove-permission --function-name --statement-id
```
Remplacez-le `` par le nom de la fonction Lambda et `` par l'ID d'instruction (`Sid`) de l'instruction que vous souhaitez supprimer.
## [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), nIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (non personnalisable)
Ce contrôle vérifie si les paramètres d'exécution des AWS Lambda fonctions correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Le contrôle échoue si la fonction Lambda n'utilise pas un environnement d'exécution compatible, comme indiqué dans la section Paramètres. Security Hub CSPM ignore les fonctions dont le type de package est. `Image`
Les environnements d'exécution Lambda sont conçus autour d'une combinaison de systèmes d'exploitation, de langages de programmation et de bibliothèques de logiciels soumis à des mises à jour de maintenance et de sécurité. Lorsqu'un composant d'exécution n'est plus pris en charge pour les mises à jour de sécurité, Lambda le déconseille. Même si vous ne pouvez pas créer de fonctions utilisant l'environnement d'exécution obsolète, la fonction est toujours disponible pour traiter les événements d'invocation. Nous vous recommandons de vérifier que vos fonctions Lambda sont à jour et de ne pas utiliser d'environnements d'exécution obsolètes. *Pour obtenir la liste des environnements d'exécution pris en charge, voir les environnements d'exécution [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) dans AWS Lambda le Guide du développeur.*
### Correction
*Pour plus d'informations sur les environnements d'exécution et les programmes de dépréciation pris en charge, consultez la section [Politique de dépréciation des environnements d'exécution](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) dans le Guide du développeur.AWS Lambda * Lorsque vous migrez vos environnements d'exécution vers la dernière version, suivez la syntaxe et les conseils des éditeurs de la langue. Nous vous recommandons également [d'appliquer des mises à jour d'exécution](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) afin de réduire le risque d'impact sur vos charges de travail dans les rares cas d'incompatibilité entre les versions d'exécution.
## [Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::Lambda::Function`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)**
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une fonction Lambda est déployée dans un cloud privé virtuel (VPC). Le contrôle échoue si la fonction Lambda n'est pas déployée dans un VPC. Security Hub CSPM n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accessibilité publique. Il se peut que vous constatiez des résultats erronés pour les ressources Lambda @Edge.
Le déploiement de ressources dans un VPC renforce la sécurité et le contrôle des configurations réseau. Ces déploiements offrent également une évolutivité et une tolérance élevée aux pannes dans plusieurs zones de disponibilité. Vous pouvez personnaliser les déploiements de VPC pour répondre aux diverses exigences des applications.
### Correction
*Pour configurer une fonction existante afin de se connecter aux sous-réseaux privés de votre VPC, [consultez la section Configuration de l'accès au VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) dans le guide du développeur.AWS Lambda * Nous vous recommandons de choisir au moins deux sous-réseaux privés pour une haute disponibilité et au moins un groupe de sécurité répondant aux exigences de connectivité de la fonction.
## [Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `availabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si une AWS Lambda fonction qui se connecte à un cloud privé virtuel (VPC) fonctionne dans au moins le nombre spécifié de zones de disponibilité ()AZs. Le contrôle échoue si la fonction ne fonctionne pas dans au moins le nombre spécifié de AZs. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Le déploiement de ressources sur plusieurs AZs sites est une AWS bonne pratique pour garantir une haute disponibilité au sein de votre architecture. La disponibilité est un pilier essentiel du modèle de sécurité tridimensionnel de confidentialité, d'intégrité et de disponibilité. Toutes les fonctions Lambda connectées à un VPC doivent être déployées dans le cadre d'un déploiement multi-AZ afin de garantir qu'une seule zone de défaillance ne perturbe pas totalement les opérations.
### Correction
Si vous configurez votre fonction pour qu'elle se connecte à un VPC dans votre compte, spécifiez plusieurs sous-réseaux AZs pour garantir une haute disponibilité. Pour obtenir des instructions, consultez [la section Configuration de l'accès au VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) dans le guide du *AWS Lambda développeur*.
Lambda exécute automatiquement plusieurs autres fonctions afin AZs de garantir sa disponibilité pour traiter les événements en cas d'interruption de service dans une seule zone.
## [Lambda.6] Les fonctions Lambda doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Lambda::Function`
**AWS Config règle :** `tagged-lambda-function` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une AWS Lambda fonction possède des balises avec les touches spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la fonction ne possède aucune clé de balise ou si toutes les touches spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la fonction n'est associée à aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à une fonction Lambda, consultez la section [Utilisation de balises sur les fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) dans le manuel du développeur.AWS Lambda *
## [Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray
**Exigences connexes :** NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le suivi actif avec AWS X-Ray est activé pour une AWS Lambda fonction. Le contrôle échoue si le traçage actif avec X-Ray est désactivé pour la fonction Lambda.
AWS X-Ray peut fournir des fonctionnalités de suivi et de surveillance pour les AWS Lambda fonctions, ce qui permet d'économiser du temps et des efforts lors du débogage et de l'exploitation des fonctions Lambda. Il peut vous aider à diagnostiquer les erreurs et à identifier les goulots d'étranglement, les ralentissements et les délais d'attente en réduisant le temps de latence des fonctions Lambda. Cela peut également aider à respecter les exigences de confidentialité et de conformité des données. Si vous activez le suivi actif pour une fonction Lambda, X-Ray fournit une vue globale du flux de données et du traitement au sein de la fonction Lambda, ce qui peut vous aider à identifier les failles de sécurité potentielles ou les pratiques de traitement des données non conformes. Cette visibilité peut vous aider à préserver l'intégrité et la confidentialité des données, ainsi que la conformité aux réglementations en vigueur.
**Note**
AWS X-Ray le suivi n'est actuellement pas pris en charge pour les fonctions Lambda avec Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka autogéré, Amazon MQ avec ActiveMQ et RabbitMQ, ou les mappages de sources d'événements Amazon DocumentDB.
### Correction
*Pour plus d'informations sur l'activation du suivi actif pour une AWS Lambda fonction, voir [Visualiser les invocations de fonctions Lambda à l'aide AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) du manuel du développeur.AWS Lambda *
# Contrôles Security Hub CSPM pour Macie
Ces AWS Security Hub CSPM contrôles évaluent le service Amazon Macie.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Macie.1] Amazon Macie devrait être activé
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4
**Catégorie :** Détecter - Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)
**Type de calendrier :** Périodique
Ce contrôle vérifie si Amazon Macie est activé pour un compte. Le contrôle échoue si Macie n'est pas activé pour le compte.
Amazon Macie découvre les données sensibles à l'aide de l'apprentissage automatique et de la correspondance de modèles, fournit une visibilité sur les risques liés à la sécurité des données et permet une protection automatique contre ces risques. Macie évalue automatiquement et en permanence vos compartiments Amazon Simple Storage Service (Amazon S3) en termes de sécurité et de contrôle d'accès, et génère des résultats pour vous signaler les problèmes potentiels liés à la sécurité ou à la confidentialité de vos données Amazon S3. Macie automatise également la découverte et le reporting des données sensibles, telles que les informations personnelles identifiables (PII), afin de vous permettre de mieux comprendre les données que vous stockez dans Amazon S3. Pour en savoir plus, consultez le guide de l'[https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).
### Correction
Pour activer Macie, consultez la section [Activer Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) dans le guide de l'utilisateur *Amazon Macie*.
## [Macie.2] La découverte automatique des données sensibles par Macie doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)
**Type de calendrier :** Périodique
Ce contrôle vérifie si la découverte automatique des données sensibles est activée pour un compte administrateur Amazon Macie. Le contrôle échoue si la découverte automatique des données sensibles n'est pas activée pour un compte administrateur Macie. Ce contrôle s'applique uniquement aux comptes d'administrateur.
Macie automatise la découverte et le reporting des données sensibles, telles que les informations personnelles identifiables (PII), dans les compartiments Amazon Simple Storage Service (Amazon S3). Grâce à la découverte automatique des données sensibles, Macie évalue en permanence votre inventaire de compartiments et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie analyse ensuite les objets sélectionnés et les inspecte pour détecter la présence de données sensibles. Au fur et à mesure que les analyses progressent, Macie met à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données S3. Macie génère également des conclusions pour signaler les données sensibles qu'elle trouve.
### Correction
Pour créer et configurer des tâches de découverte automatique de données sensibles afin d'analyser des objets dans des compartiments S3, consultez la [section Configuration de la découverte automatique de données sensibles pour votre compte](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) dans le guide de l'*utilisateur Amazon Macie*.
# Contrôles Security Hub CSPM pour Amazon MSK
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Managed Streaming for Apache Kafka (Amazon MSK). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si un cluster Amazon MSK est chiffré en transit avec le protocole HTTPS (TLS) entre les nœuds courtiers du cluster. Le contrôle échoue si la communication en texte brut est activée pour une connexion à un nœud de cluster broker.
Le protocole HTTPS offre un niveau de sécurité supplémentaire car il utilise le protocole TLS pour déplacer les données et peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Par défaut, Amazon MSK chiffre les données en transit avec le protocole TLS. Toutefois, vous pouvez annuler cette valeur par défaut au moment de créer le cluster. Nous recommandons d'utiliser des connexions chiffrées via HTTPS (TLS) pour les connexions aux nœuds de courtage.
### Correction
Pour plus d'informations sur la mise à jour des paramètres de chiffrement d'un cluster Amazon MSK, consultez la section [Mise à jour des paramètres de sécurité d'un cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) dans le manuel *Amazon Managed Streaming for Apache Kafka* Developer Guide.
## [MSK.2] La surveillance améliorée des clusters MSK doit être configurée
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon MSK dispose d'une surveillance améliorée configurée, spécifiée par un niveau de surveillance d'au moins`PER_TOPIC_PER_BROKER`. Le contrôle échoue si le niveau de surveillance du cluster est défini sur `DEFAULT` ou`PER_BROKER`.
Le niveau `PER_TOPIC_PER_BROKER` de surveillance fournit des informations plus détaillées sur les performances de votre cluster MSK et fournit également des mesures relatives à l'utilisation des ressources, telles que l'utilisation du processeur et de la mémoire. Cela vous permet d'identifier les obstacles aux performances et les modèles d'utilisation des ressources pour des sujets et des courtiers individuels. Cette visibilité peut à son tour optimiser les performances de vos courtiers Kafka.
### Correction
Pour configurer la surveillance améliorée pour un cluster MSK, procédez comme suit :
1. Vous voulez ouvrir la console Amazon MSK à la [https://console.aws.amazon.com/msk/maison ? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. Dans le panneau de navigation, choisissez **Clusters**. Choisissez ensuite un cluster.
1. Pour **Action**, sélectionnez **Modifier la surveillance**.
1. Sélectionnez l'option « Surveillance **thématique améliorée ».**
1. Sélectionnez **Enregistrer les modifications**.
Pour plus d'informations sur les niveaux de surveillance, consultez les [métriques Amazon MSK relatives à la surveillance des courtiers standard CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) dans le guide du développeur *Amazon Managed Streaming for Apache Kafka*.
## [MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
**Exigences associées :** PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::KafkaConnect::Connector`
**AWS Config règle :** `msk-connect-connector-encrypted` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un connecteur Amazon MSK Connect est chiffré pendant le transport. Ce contrôle échoue si le connecteur n'est pas chiffré pendant le transport.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Vous pouvez activer le chiffrement en transit lorsque vous créez un connecteur MSK Connect. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un connecteur. Pour plus d'informations, consultez la section [Créer un connecteur](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) dans le guide du *développeur Amazon Managed Streaming for Apache Kafka*.
## [MSK.4] L'accès public aux clusters MSK doit être désactivé
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès public est désactivé pour un cluster Amazon MSK. Le contrôle échoue si l'accès public est activé pour le cluster MSK.
Par défaut, les clients peuvent accéder à un cluster Amazon MSK uniquement s'ils se trouvent dans le même VPC que le cluster. Toutes les communications entre les clients Kafka et un cluster MSK sont privées par défaut et les données en streaming ne transitent pas par Internet. Toutefois, si un cluster MSK est configuré pour autoriser l'accès public, n'importe qui sur Internet peut établir une connexion avec les courtiers Apache Kafka qui s'exécutent au sein du cluster. Cela peut entraîner des problèmes tels qu'un accès non autorisé, des violations de données ou l'exploitation de vulnérabilités. Si vous limitez l'accès à un cluster en exigeant des mesures d'authentification et d'autorisation, vous pouvez contribuer à protéger les informations sensibles et à préserver l'intégrité de vos ressources.
### Correction
Pour plus d'informations sur la gestion de l'accès public à un cluster Amazon MSK, consultez la section [Activer l'accès public à un cluster MSK provisioned](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) dans le guide du développeur *Amazon Managed Streaming for Apache* Kafka.
## [MSK.5] La journalisation des connecteurs MSK doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::KafkaConnect::Connector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour un connecteur Amazon MSK. Le contrôle échoue si la journalisation est désactivée pour le connecteur MSK.
Les connecteurs Amazon MSK intègrent des systèmes externes et des services Amazon à Apache Kafka en copiant en continu les données de streaming d'une source de données vers un cluster Apache Kafka, ou en copiant en continu les données d'un cluster vers un récepteur de données. MSK Connect peut écrire des événements de journal qui peuvent aider à déboguer un connecteur. Lorsque vous créez un connecteur, vous pouvez spécifier au moins zéro des destinations de journal suivantes : Amazon CloudWatch Logs, Amazon S3 et Amazon Data Firehose.
**Note**
Des valeurs de configuration sensibles peuvent apparaître dans les journaux des connecteurs si un plugin ne définit pas ces valeurs comme secrètes. Kafka Connect traite les valeurs de configuration non définies de la même manière que toute autre valeur en texte brut.
### Correction
Pour activer la journalisation pour un connecteur Amazon MSK existant, vous devez recréer le connecteur avec la configuration de journalisation appropriée. Pour plus d'informations sur les options de configuration, consultez la section [Logging for MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) du manuel *Amazon Managed Streaming for Apache Kafka* Developer Guide.
## [MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès non authentifié est activé pour un cluster Amazon MSK. Le contrôle échoue si l'accès non authentifié est activé pour le cluster MSK.
Amazon MSK prend en charge les mécanismes d'authentification et d'autorisation des clients pour contrôler l'accès à un cluster. Ces mécanismes vérifient l'identité des clients qui se connectent au cluster et déterminent les actions que les clients peuvent effectuer. Un cluster MSK peut être configuré pour autoriser un accès non authentifié, ce qui permet à tout client connecté au réseau de publier des sujets Kafka et de s'y abonner sans fournir d'informations d'identification. L'exécution d'un cluster MSK sans authentification enfreint le principe du moindre privilège et peut exposer le cluster à un accès non autorisé. Il peut permettre à n'importe quel client d'accéder, de modifier ou de supprimer des données dans les rubriques Kafka, ce qui peut entraîner des violations de données, des modifications non autorisées des données ou des interruptions de service. Nous recommandons d'activer les mécanismes d'authentification tels que l'authentification IAM, le SASL/SCRAM ou le protocole TLS mutuel pour garantir un contrôle d'accès approprié et garantir la conformité en matière de sécurité.
### Correction
Pour plus d'informations sur la modification des paramètres d'authentification d'un cluster Amazon MSK, consultez les sections suivantes du guide du *développeur Amazon Managed Streaming for Apache Kafka* [: Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) [et Authentification et autorisation](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) pour Apache Kafka. APIs
# Contrôles Security Hub CSPM pour Amazon MQ
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon MQ. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
**Exigences connexes :** NIST.800-53.R5 AU-2, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-12, NIST.800-53.R5 SI-4, PCI DSS v4.0.1/10.3.3
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un courtier Amazon MQ ActiveMQ diffuse des journaux d'audit vers Amazon Logs. CloudWatch Le contrôle échoue si le broker ne diffuse pas les journaux d'audit vers CloudWatch Logs.
En publiant les journaux des courtiers ActiveMQ dans Logs CloudWatch , vous pouvez CloudWatch créer des alarmes et des mesures qui augmentent la visibilité des informations relatives à la sécurité.
### Correction
*Pour diffuser les journaux du courtier ActiveMQ CloudWatch vers des journaux, consultez la section Configuration d'[Amazon MQ pour les journaux ActiveMQ dans le guide du développeur Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*
## [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
**Important**
Security Hub CSPM a retiré ce contrôle en janvier 2026. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.R5 CM-3, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée chez un courtier Amazon MQ. Le contrôle échoue si le broker n'a pas activé la mise à niveau automatique des versions mineures.
À mesure qu'Amazon MQ publie et prend en charge de nouvelles versions du moteur de courtage, les modifications sont rétrocompatibles avec une application existante et ne déprécient pas les fonctionnalités existantes. Les mises à jour automatiques des versions du moteur de courtage vous protègent contre les risques de sécurité, aident à corriger les bogues et améliorent les fonctionnalités.
**Note**
Lorsque le broker associé à la mise à niveau automatique des versions mineures utilise son dernier correctif et n'est plus pris en charge, vous devez effectuer une action manuelle pour effectuer la mise à niveau.
### Correction
Pour activer la mise à niveau automatique de la version mineure pour un courtier MQ, consultez la section [Mise à niveau automatique de la version mineure du moteur](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) dans le manuel *Amazon MQ Developer* Guide.
## [MQ.4] Les courtiers Amazon MQ doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AmazonMQ::Broker`
**AWS Config règle :** `tagged-amazonmq-broker` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un courtier Amazon MQ possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le broker ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le broker n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un courtier Amazon MQ, consultez les [ressources de balisage](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) dans le manuel *Amazon* MQ Developer Guide.
## [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le mode de déploiement d'un broker Amazon MQ ActiveMQ est défini sur actif/en veille. Le contrôle échoue si un broker à instance unique (activé par défaut) est défini comme mode de déploiement.
Le déploiement actif/en veille assure une haute disponibilité à vos courtiers Amazon MQ ActiveMQ dans un. Région AWS Le mode de déploiement actif/en veille inclut deux instances de courtier situées dans deux zones de disponibilité différentes, configurées dans une paire redondante. Ces courtiers communiquent de manière synchrone avec votre application, ce qui peut réduire les temps d'arrêt et les pertes de données en cas de panne.
### Correction
*Pour créer un nouveau courtier ActiveMQ en mode déploiement, [consultez la section Création et configuration d'un courtier active/standby ActiveMQ dans le manuel Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html) Developer Guide.* Pour le **mode de déploiement**, choisissez **Active/Standby Broker**. Vous ne pouvez pas modifier le mode de déploiement d'un broker existant. Au lieu de cela, vous devez créer un nouveau courtier et copier les paramètres de l'ancien courtier.
## [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le mode de déploiement d'un courtier Amazon MQ RabbitMQ est défini sur le déploiement en cluster. Le contrôle échoue si un broker à instance unique (activé par défaut) est défini comme mode de déploiement.
Le déploiement en cluster offre une haute disponibilité à vos courtiers Amazon MQ RabbitMQ dans un. Région AWS Le déploiement du cluster est un regroupement logique de trois nœuds de courtage RabbitMQ, chacun possédant son propre volume Amazon Elastic Block Store (Amazon EBS) et un état partagé. Le déploiement du cluster garantit que les données sont répliquées sur tous les nœuds du cluster, ce qui peut réduire les temps d'arrêt et les pertes de données en cas de panne.
### Correction
*Pour créer un nouveau courtier RabbitMQ avec le mode de déploiement en cluster, consultez la section [Création et connexion à un courtier RabbitMQ dans le guide du développeur Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html).* Pour **le mode de déploiement**, choisissez **Déploiement en cluster**. Vous ne pouvez pas modifier le mode de déploiement d'un broker existant. Au lieu de cela, vous devez créer un nouveau courtier et copier les paramètres de l'ancien courtier.
# Contrôles Security Hub CSPM pour Neptune
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Neptune.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données Neptune protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
### Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données Neptune. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section [Chiffrer les ressources Neptune au repos dans le Guide](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) de l'utilisateur de *Neptune*.
## [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si un cluster de base de données Neptune ne publie pas les journaux d'audit dans Logs. CloudWatch `EnableCloudWatchLogsExport`doit être réglé sur`Audit`.
Amazon Neptune et Amazon CloudWatch sont intégrés afin que vous puissiez recueillir et analyser les indicateurs de performance. Neptune envoie automatiquement des métriques aux alarmes CloudWatch et les prend également en charge CloudWatch . Les journaux d'audit sont hautement personnalisables. Lorsque vous auditez une base de données, chaque opération sur les données peut être surveillée et enregistrée dans une piste d'audit, y compris des informations sur le cluster de base de données auquel on accède et comment. Nous vous recommandons d'envoyer ces journaux pour vous aider CloudWatch à surveiller vos clusters de base de données Neptune.
### Correction
*Pour publier les journaux d'audit Neptune dans Logs, consultez la section Publication CloudWatch des [journaux Neptune sur Amazon Logs CloudWatch dans le guide de l'utilisateur](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html) de Neptune.* Dans la section **Exportations de journaux**, choisissez **Audit**.
## [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané manuel du cluster de base de données Neptune est public. Le contrôle échoue si un instantané manuel du cluster de base de données Neptune est public.
Un instantané manuel d'un cluster de base de données Neptune ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré en tant que public, l'instantané est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
### Correction
*Pour supprimer l'accès public aux instantanés manuels de cluster de bases de données Neptune, consultez la section [Partage d'un instantané de cluster](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) de base de données dans le guide de l'utilisateur de Neptune.*
## [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données Neptune. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données Neptune.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster de base de données Neptune ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir.
### Correction
Pour activer la protection contre la suppression pour un cluster de base de données Neptune existant, consultez la section [Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) dans le guide de l'*utilisateur Amazon Aurora*.
## [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées
**Exigences connexes :** NIST.800-53.R5 SI-12
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Durée minimale de conservation des sauvegardes en jours | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si les sauvegardes automatisées sont activées dans un cluster de base de données Neptune et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Le contrôle échoue si les sauvegardes ne sont pas activées pour le cluster de base de données Neptune ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters de base de données Neptune, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données.
### Correction
Pour activer les sauvegardes automatisées et définir une période de conservation des sauvegardes pour vos clusters de base de données Neptune, consultez la section [Activation des sauvegardes automatisées](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) dans le guide de l'utilisateur *Amazon RDS.* Pour **la période de conservation des sauvegardes**, choisissez une valeur supérieure ou égale à 7.
## [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané du cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données contenues dans les instantanés des clusters de base de données Neptune doivent être chiffrées au repos pour renforcer la sécurité.
### Correction
Vous ne pouvez pas chiffrer un instantané de cluster de base de données Neptune existant. Au lieu de cela, vous devez restaurer le snapshot sur un nouveau cluster de base de données et activer le chiffrement sur le cluster. Vous pouvez créer un instantané chiffré à partir du cluster chiffré. Pour obtenir des instructions, reportez-vous aux sections [Restauration à partir d'un instantané de cluster](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) de base de données et [Création d'un instantané de cluster de base de données dans Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) dans le guide de l'utilisateur de *Neptune*.
## [Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée dans un cluster de base de données Neptune. Le contrôle échoue si l'authentification de base de données IAM n'est pas activée pour un cluster de base de données Neptune.
L'authentification de base de données IAM pour les clusters de bases de données Amazon Neptune élimine le besoin de stocker les informations d'identification des utilisateurs dans la configuration de la base de données, car l'authentification est gérée en externe à l'aide d'IAM. Lorsque l'authentification de base de données IAM est activée, chaque demande doit être signée à l'aide de AWS la version 4 de Signature.
### Correction
Par défaut, l'authentification de base de données IAM est désactivée lorsque vous créez un cluster de base de données Neptune. Pour l'activer, consultez la section [Activation de l'authentification de base de données IAM dans Neptune dans](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) le guide de l'utilisateur de *Neptune*.
## [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est configuré pour copier toutes les balises dans les instantanés lors de leur création. Le contrôle échoue si un cluster de base de données Neptune n'est pas configuré pour copier des balises dans des instantanés.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez étiqueter les instantanés de la même manière que leurs clusters de base de données Amazon RDS parents. La copie des balises garantit que les métadonnées des instantanés de base de données correspondent à celles des clusters de base de données parents et que les politiques d'accès à l'instantané de base de données correspondent également à celles de l'instance de base de données parent.
### Correction
Pour copier des balises dans des instantanés pour les clusters de base de données Neptune, [consultez la section Copier des balises dans Neptune dans le guide de *l'*utilisateur de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).
## [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Neptune possède des instances de réplication en lecture dans plusieurs zones de disponibilité (). AZs Le contrôle échoue si le cluster est déployé dans une seule zone de disponibilité.
Si une AZ n'est pas disponible et lors d'événements de maintenance réguliers, les répliques en lecture servent de cibles de basculement pour l'instance principale. En d'autres termes, si l'instance principale échoue, Neptune promeut une instance de réplica en lecture au statut d'instance principale. En revanche, si votre cluster de bases de données n'inclut aucune instance de réplica en lecture, le cluster de bases de données reste indisponible en cas de défaillance de l'instance principale tant qu'elle n'a pas été recréée. La recréation de l'instance principale prend beaucoup plus de temps que la promotion d'un réplica en lecture. Pour garantir une haute disponibilité, nous vous recommandons de créer une ou plusieurs instances en lecture répliquée ayant la même classe d'instance de base de données que l'instance principale et situées dans une autre instance AZs que l'instance principale.
### Correction
*Pour déployer un cluster de base de données Neptune en plusieurs exemplaires AZs, consultez la section Instances de base de [données Replica dans un cluster de base de données Neptune dans le guide de l'utilisateur de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*
# Contrôles Security Hub CSPM pour AWS Network Firewall
Ces AWS Security Hub CSPM contrôles évaluent le AWS Network Firewall service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle évalue si un pare-feu géré par le biais AWS Network Firewall est déployé sur plusieurs zones de disponibilité (AZs). Le contrôle échoue si un pare-feu est déployé dans une seule zone de disponibilité.
AWS l'infrastructure mondiale comprend plusieurs Régions AWS. AZs sont des sites isolés et physiquement séparés au sein de chaque région, connectés par un réseau à faible latence, à haut débit et hautement redondant. En déployant un pare-feu Network Firewall sur plusieurs sites AZs, vous pouvez équilibrer et transférer le trafic entre eux AZs, ce qui vous permet de concevoir des solutions à haute disponibilité.
### Correction
**Déploiement d'un pare-feu Network Firewall sur plusieurs AZs**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous **Network Firewall**, sélectionnez **Firewalls**.
1. Sur la page **Pare-feu**, sélectionnez le pare-feu que vous souhaitez modifier.
1. Sur la page des détails du pare-feu, choisissez l'onglet **Détails du pare-feu**.
1. **Dans la section **Politique associée et VPC**, choisissez Modifier**
1. Pour ajouter un nouvel AZ, choisissez **Ajouter un nouveau sous-réseau**. Sélectionnez l'AZ et le sous-réseau que vous souhaitez utiliser. Assurez-vous d'en sélectionner au moins deux AZs.
1. Choisissez **Enregistrer**.
## [NetworkFirewall.2] La journalisation du Network Firewall doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::LoggingConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la journalisation n'est pas activée pour au moins un type de journal ou si la destination de journalisation n'existe pas.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances de vos pare-feux. Dans Network Firewall, la journalisation fournit des informations détaillées sur le trafic réseau, notamment l'heure à laquelle le moteur dynamique a reçu un flux de paquets, des informations détaillées sur le flux de paquets et toute action de règle dynamique prise à l'encontre du flux de paquets.
### Correction
Pour activer la journalisation pour un pare-feu, consultez la section [Mise à jour de la configuration de journalisation d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.13.1
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une politique Network Firewall est associée à des groupes de règles avec ou sans état. Le contrôle échoue si aucun groupe de règles apatride ou dynamique n'est attribué.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon Virtual Private Cloud (Amazon VPC). La configuration de groupes de règles apatrides et dynamiques permet de filtrer les paquets et les flux de trafic et de définir la gestion du trafic par défaut.
### Correction
Pour ajouter un groupe de règles à une politique de Network Firewall, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour plus d'informations sur la création et la gestion de groupes de règles, consultez la section [Groupes de règles dans AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
## [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets complets dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si `Drop` ou `Forward` est sélectionné, et échoue s'il `Pass` est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut `Pass` peut autoriser le trafic involontaire.
### Correction
Pour modifier votre politique de pare-feu, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour les **actions par défaut sans état**, choisissez **Modifier**. Choisissez ensuite Supprimer ou **Transférer** **vers des groupes de règles dynamiques** en tant qu'**action**.
## [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets fragmentés dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si `Drop` ou `Forward` est sélectionné, et échoue s'il `Pass` est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut `Pass` peut autoriser le trafic involontaire.
### Correction
Pour modifier votre politique de pare-feu, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour les **actions par défaut sans état**, choisissez **Modifier**. Choisissez ensuite Supprimer ou **Transférer** **vers des groupes de règles dynamiques** en tant qu'**action**.
## [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::RuleGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de règles AWS Network Firewall apatrides contient des règles. Le contrôle échoue s'il n'existe aucune règle dans le groupe de règles.
Un groupe de règles contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles apatrides vide, lorsqu'il est présent dans une politique de pare-feu, peut donner l'impression que le groupe de règles traitera le trafic. Toutefois, lorsque le groupe de règles apatrides est vide, il ne traite pas le trafic.
### Correction
Pour ajouter des règles à votre groupe de règles Network Firewall, consultez la section [Mise à jour d'un groupe de règles dynamique](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) dans le *Guide du AWS Network Firewall développeur*. Sur la page des détails du pare-feu, pour le **groupe de règles Stateless**, choisissez **Modifier** pour ajouter des règles.
## [NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**AWS Config règle :** `tagged-networkfirewall-firewall` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Network Firewall pare-feu possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le pare-feu ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le pare-feu n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un pare-feu Network Firewall, consultez les [AWS Network Firewall ressources relatives au balisage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config règle :** `tagged-networkfirewall-firewallpolicy` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une politique de AWS Network Firewall pare-feu comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la politique de pare-feu ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique de pare-feu n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une politique de Network Firewall, consultez les [AWS Network Firewall ressources relatives au balisage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre la suppression n'est pas activée pour un pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique et un service de détection des intrusions qui vous permet d'inspecter et de filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Le paramètre de protection contre la suppression protège contre la suppression accidentelle du pare-feu.
### Correction
Pour activer la protection contre la suppression sur un pare-feu Network Firewall existant, consultez la section [Mise à jour d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) dans le *manuel du AWS Network Firewall développeur*. Pour les **protections contre les modifications**, sélectionnez **Activer**. Vous pouvez également activer la protection contre la suppression en appelant l'[ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API et en définissant le `DeleteProtection` champ sur. `true`
## [NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les modifications de sous-réseau est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre les modifications de sous-réseau n'est pas activée pour le pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique ainsi qu'un service de détection des intrusions que vous pouvez utiliser pour inspecter et filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Si vous activez la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall, vous pouvez protéger le pare-feu contre les modifications accidentelles des associations de sous-réseaux du pare-feu.
### Correction
Pour plus d'informations sur l'activation de la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall existant, consultez la section [Mise à jour d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) dans le *Guide du AWS Network Firewall développeur*.
# Contrôles Security Hub CSPM pour Amazon Service OpenSearch
Ces AWS Security Hub CSPM contrôles évaluent le OpenSearch service et les ressources Amazon OpenSearch Service (Service). Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la encryption-at-rest configuration des OpenSearch domaines est activée. La vérification échoue si le chiffrement au repos n'est pas activé.
Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine de OpenSearch service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, vous AWS KMS stockez et gérez vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits (AES-256).
Pour en savoir plus sur le chiffrement des OpenSearch services au repos, consultez la section [Chiffrement des données au repos pour Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) dans le manuel *Amazon OpenSearch Service* *Developer Guide*.
### Correction
Pour activer le chiffrement au repos pour les OpenSearch domaines nouveaux et existants, consultez la section [Activation du chiffrement des données au repos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Critique
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les OpenSearch domaines se trouvent dans un VPC. Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public.
Vous devez vous assurer que OpenSearch les domaines ne sont pas attachés à des sous-réseaux publics. Consultez les [politiques basées sur les ressources](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) dans le manuel Amazon OpenSearch Service Developer Guide. Vous devez également garantir que votre VPC est configuré conformément aux bonnes pratiques recommandées. Consultez les [meilleures pratiques de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) dans le guide de l'utilisateur Amazon VPC.
OpenSearch les domaines déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. VPCs fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux OpenSearch domaines, notamment les ACL réseau et les groupes de sécurité. Security Hub vous recommande de migrer OpenSearch les domaines publics VPCs pour tirer parti de ces contrôles.
### Correction
Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas ultérieurement le placer au sein d'un VPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L’inverse est également vrai. Si vous créez un domaine dans un VPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez [créer un autre domaine](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) ou désactiver ce contrôle.
Pour obtenir des instructions, consultez la section [Lancement de vos domaines Amazon OpenSearch Service au sein d'un VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le node-to-node chiffrement est activé dans les OpenSearch domaines. Ce contrôle échoue si node-to-node le chiffrement est désactivé sur le domaine.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant des attaques similaires. person-in-the-middle Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour OpenSearch les domaines garantit que les communications intra-cluster sont chiffrées en transit.
Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.
### Correction
Pour activer le node-to-node chiffrement sur un OpenSearch domaine, consultez la section [Activation du node-to-node chiffrement](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `logtype = 'error'`(non personnalisable)
Ce contrôle vérifie si OpenSearch les domaines sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs. Ce contrôle échoue si la journalisation des erreurs n' CloudWatch est pas activée pour un domaine.
Vous devez activer les journaux d'erreurs pour OpenSearch les domaines et les envoyer à CloudWatch Logs pour les conserver et y répondre. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
### Correction
Pour activer la publication des journaux, consultez la section [Activation de la publication des journaux (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `cloudWatchLogsLogGroupArnList`(non personnalisable) — Security Hub CSPM ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.
Ce contrôle vérifie si la journalisation des audits est activée dans les OpenSearch domaines. Ce contrôle échoue si la journalisation des audits n'est pas activée pour un OpenSearch domaine.
Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos OpenSearch clusters, notamment les réussites et les échecs d'authentification, les demandesOpenSearch, les modifications d'index et les requêtes de recherche entrantes.
### Correction
Pour obtenir des instructions sur l'activation des journaux d'audit, consultez la section [Activation des journaux d'audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si OpenSearch les domaines sont configurés avec au moins trois nœuds de données et `zoneAwarenessEnabled` s'ils le sont`true`. Ce contrôle échoue pour un OpenSearch domaine s'il `instanceCount` est inférieur à 3 ou s'il `zoneAwarenessEnabled` est inférieur à 3`false`.
Pour atteindre une haute disponibilité et une tolérance aux pannes au niveau du cluster, un OpenSearch domaine doit comporter au moins trois nœuds de données. Le déploiement d'un OpenSearch domaine comportant au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.
### Correction
**Pour modifier le nombre de nœuds de données dans un OpenSearch domaine**
1. Connectez-vous à la AWS console et ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Sous **Mes domaines**, choisissez le nom du domaine à modifier, puis sélectionnez **Modifier**.
1. Sous **Nœuds de données**, définissez **Nombre de nœuds** sur un nombre supérieur à`3`. Si vous effectuez un déploiement dans trois zones de disponibilité, définissez le nombre sur un multiple de trois pour garantir une répartition égale entre les zones de disponibilité.
1. Sélectionnez **Soumettre**.
## Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie : Protection** > Gestion des accès sécurisés > Actions d'API sensibles restreintes
**Gravité :** Élevée
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le contrôle d'accès détaillé est activé dans les OpenSearch domaines. Le contrôle échoue si le contrôle d'accès détaillé n'est pas activé. Le contrôle d'accès précis nécessite que `advanced-security-options` le OpenSearch paramètre soit `update-domain-config` activé.
Le contrôle d'accès précis offre des moyens supplémentaires de contrôler l'accès à vos données sur Amazon OpenSearch Service.
### Correction
*Pour activer le contrôle d'accès détaillé, consultez la section Contrôle d'[accès détaillé dans Amazon Service OpenSearch dans le manuel Amazon Service Developer](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Guide. OpenSearch *
## [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(non personnalisable)
Cela permet de vérifier si un point de terminaison de domaine Amazon OpenSearch Service est configuré pour utiliser la dernière politique de sécurité TLS. Le contrôle échoue si le point de terminaison du OpenSearch domaine n'est pas configuré pour utiliser la dernière politique prise en charge ou s'il HTTPs n'est pas activé.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS. TLS 1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes de TLS.
### Correction
Pour activer le chiffrement TLS, utilisez l'opération [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API. Configurez le [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)champ pour spécifier la valeur pour`TLSSecurityPolicy`. Pour plus d'informations, consultez la section sur le [Node-to-node chiffrement](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.9] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::OpenSearch::Domain`
**AWS Config règle :** `tagged-opensearch-domain` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un domaine Amazon OpenSearch Service possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le domaine ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le domaine n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un domaine OpenSearch de service, consultez la section [Utilisation des balises](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière mise à jour logicielle est installée sur un domaine Amazon OpenSearch Service. Le contrôle échoue si une mise à jour logicielle est disponible mais n'est pas installée pour le domaine.
OpenSearch Les mises à jour du logiciel de service fournissent les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement. L'installation up-to-date continue des correctifs permet de garantir la sécurité et la disponibilité du domaine. Si aucune action n'est entreprise sur les mises à jour requises, le logiciel de service est mis à jour automatiquement (généralement au bout de 2 semaines). Nous recommandons de planifier les mises à jour en période de faible trafic vers le domaine afin de minimiser les interruptions de service.
### Correction
Pour installer des mises à jour logicielles pour un OpenSearch domaine, consultez [Démarrer une mise à jour](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.R5 SI-13
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un domaine Amazon OpenSearch Service est configuré avec au moins trois nœuds principaux dédiés. Le contrôle échoue si le domaine possède moins de trois nœuds principaux dédiés.
OpenSearch Le service utilise des nœuds principaux dédiés pour améliorer la stabilité du cluster. Un nœud principal dédié exécute les tâches de gestion du cluster, mais ne contient pas de données et ne répond pas aux demandes de téléchargement de données. Nous vous recommandons d'utiliser le mode Multi-AZ en mode veille, qui ajoute trois nœuds principaux dédiés à chaque OpenSearch domaine de production.
### Correction
Pour modifier le nombre de nœuds principaux d'un OpenSearch domaine, consultez la section [Création et gestion de domaines Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
# Contrôles Security Hub CSPM pour AWS CA privée
Ces AWS Security Hub CSPM contrôles évaluent le service AWS Autorité de certification privée (AWS CA privée) et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::ACMPCA::CertificateAuthority`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si AWS CA privée une autorité de certification racine (CA) est désactivée. Le contrôle échoue si l'autorité de certification racine est activée.
Avec AWS CA privée, vous pouvez créer une hiérarchie de CA qui inclut une autorité de certification racine et une autorité subordonnée. CAs Vous devez minimiser l'utilisation de l'autorité de certification racine pour les tâches quotidiennes, en particulier dans les environnements de production. L'autorité de certification racine ne doit être utilisée que pour délivrer des certificats pour les intermédiaires CAs. Cela permet à l'autorité de certification racine d'être stockée à l'abri du danger pendant que l'intermédiaire CAs effectue la tâche quotidienne d'émission des certificats d'entité finale.
### Correction
Pour désactiver l'autorité de certification racine, consultez la section [Mettre à jour le statut de l'autorité de certification](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) dans le *guide de AWS Autorité de certification privée l'utilisateur*.
## [PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ACMPCA::CertificateAuthority`
**Règle AWS Config :** `acmpca-certificate-authority-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une autorité de certification AWS privée CA possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'autorité de certification ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'autorité de certification n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une autorité de certification AWS privée, voir [Ajouter des balises pour votre autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) dans le *guide de AWS Autorité de certification privée l'utilisateur*.
# Contrôles Security Hub CSPM pour Amazon RDS
Ces AWS Security Hub CSPM contrôles évaluent les ressources Amazon Relational Database Service (Amazon RDS) et Amazon RDS. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [RDS.1] L'instantané RDS doit être privé
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :**`AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instantanés Amazon RDS sont publics. Le contrôle échoue si les instantanés RDS sont publics. Ce contrôle évalue les instances RDS, les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB.
Les instantanés RDS sont utilisés pour sauvegarder les données sur vos instances RDS à un moment donné. Ils peuvent être utilisés pour restaurer les états précédents des instances RDS.
Un instantané RDS ne doit pas être public si ce n’est pas prévu. Si vous partagez un instantané manuel non chiffré en tant que public, cela le rend accessible à tous Comptes AWS. Cela peut entraîner une exposition involontaire des données de votre instance RDS.
Notez que si la configuration est modifiée pour autoriser l'accès public, la AWS Config règle risque de ne pas être en mesure de détecter le changement avant 12 heures. Tant que la AWS Config règle ne détecte pas le changement, le contrôle est réussi même si la configuration enfreint la règle.
Pour en savoir plus sur le partage d'un instantané de base de données, consultez la section [Partage d'un instantané](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) de base de données dans le *guide de l'utilisateur Amazon RDS*.
### Correction
Pour supprimer l'accès public aux instantanés RDS, consultez la section [Partage d'un instantané](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) dans le guide de l'utilisateur *Amazon RDS.* Pour la **visibilité des instantanés** de base de données, nous choisissons **Private**.
## [RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.2.3, CIS AWS Foundations Benchmark v3.0.0/2.3.3,, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7, PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4, DSS 3.2.1/1.3.6, PCI DSS 3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances Amazon RDS sont accessibles au public en évaluant le `PubliclyAccessible` champ dans l'élément de configuration de l'instance.
Les instances de base de données Neptune et les clusters Amazon DocumentDB n'ont pas cet indicateur et ne `PubliclyAccessible` peuvent pas être évalués. Cependant, ce contrôle peut toujours générer des résultats pour ces ressources. Vous pouvez supprimer ces résultats.
La valeur `PubliclyAccessible` de la configuration de l'instance RDS indique si l'instance DB est publiquement accessible. Lorsque l'instance de base de données est configuré avec la valeur `PubliclyAccessible`, il s'agit d'une instance connectée à Internet avec un nom DNS qui peut être publiquement résolu, qui correspond à une adresse IP publique. Lorsque l'instance de base de données n'est pas accessible publiquement, il s'agit d'une instance interne avec un nom DNS qui correspond à une adresse IP privée.
À moins que vous ne souhaitiez que votre instance RDS soit accessible au public, l'instance RDS ne doit pas être configurée avec une `PubliclyAccessible` valeur. Cela risque d'entraîner un trafic inutile vers votre instance de base de données.
### Correction
Pour supprimer l'accès public aux instances de base de données RDS, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'*utilisateur Amazon RDS.* Pour **l'accès public**, choisissez **Non**.
## [RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 AWS SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du stockage est activé pour vos instances de base de données Amazon RDS.
Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Pour une couche de sécurité supplémentaire pour vos données sensibles dans les instances DB RDS, vous devez configurer ces dernières pour qu'elles soient chiffrées au repos. Pour chiffrer vos instances et vos instantanés de base de données RDS au repos, activez l'option de chiffrement pour vos instances de base de données RDS. Les données qui sont chiffrées au repos incluent le stockage sous-jacent pour des instance DB, les sauvegardes automatisées, les réplicas en lecture et les instantanés.
Les instances de base de données RDS chiffrées utilisent l'algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos instances de base de données RDS. Une fois vos données chiffrées, Amazon RDS gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.
Le chiffrement Amazon RDS est actuellement disponible pour tous les moteurs de base de données et types de stockage. Le chiffrement Amazon RDS est disponible pour la plupart des classes d’instance de base de données. Pour en savoir plus sur les classes d'instances de base de données qui ne prennent pas en charge le chiffrement Amazon RDS, consultez la section [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) dans le guide de l'utilisateur *Amazon RDS*.
### Correction
Pour plus d'informations sur le chiffrement des instances de base de données dans Amazon RDS, consultez la section [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) dans le guide de l'utilisateur *Amazon* RDS.
## [RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :**`AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané de base de données RDS est chiffré. Le contrôle échoue si un instantané de base de données RDS n'est pas chiffré.
Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instantanés des instances de base de données Aurora, des instances de base de données Neptune et des clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. Les données contenues dans les instantanés RDS doivent être chiffrées au repos pour renforcer la sécurité.
### Correction
Pour chiffrer un instantané RDS, consultez la section [Chiffrer les ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) dans le guide de l'utilisateur *Amazon* RDS. Lorsque vous chiffrez une instance de base de données RDS, les données chiffrées incluent le stockage sous-jacent de l'instance, ses sauvegardes automatisées, ses répliques de lecture et ses instantanés.
Vous ne pouvez chiffrer une instance de base de données RDS que lorsque vous la créez, et non une fois l'instance de base de données créée. Cependant, parce que vous pouvez chiffrer une copie d’un instantané non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l’instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l’instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d’origine.
## [RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos instances de base de données RDS. Le contrôle échoue si une instance de base de données RDS n'est pas configurée avec plusieurs zones de disponibilité (AZs). Ce contrôle ne s'applique pas aux instances de base de données RDS qui font partie d'un déploiement de cluster de base de données multi-AZ.
La configuration des instances de base de données Amazon RDS AZs permet de garantir la disponibilité des données stockées. Les déploiements multi-AZ permettent un basculement automatique en cas de problème de disponibilité de l'AZ et lors de la maintenance régulière du RDS.
### Correction
Pour déployer vos instances de base de données en plusieurs AZs, [modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) dans le guide de l'*utilisateur Amazon RDS*.
## [RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `monitoringInterval` | Nombre de secondes entre les intervalles de collecte des métriques de surveillance | Enum | `1`, `5`, `10`, `15`, `30`, `60` | Aucune valeur par défaut |
Ce contrôle vérifie si la surveillance améliorée est activée pour une instance de base de données Amazon Relational Database Service (Amazon RDS). Le contrôle échoue si la surveillance améliorée n'est pas activée pour l'instance. Si vous fournissez une valeur personnalisée pour le `monitoringInterval` paramètre, le contrôle est effectué uniquement si des mesures de surveillance améliorées sont collectées pour l'instance à l'intervalle spécifié.
Dans Amazon RDS, la surveillance améliorée permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Ces modifications des performances peuvent entraîner un manque de disponibilité des données. La surveillance améliorée fournit des mesures en temps réel du système d'exploitation sur lequel s'exécute votre instance de base de données RDS. Un agent est installé sur l'instance. L'agent peut obtenir des métriques avec plus de précision que ce n'est possible à partir de la couche hyperviseur.
Les métriques de la surveillance améliorée sont utiles pour évaluer l'utilisation de l'UC par différents processus ou threads sur une instance de base de données. Pour de plus amples informations sur la surveillance améliorée, veuillez consulter la rubrique [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (Surveillance améliorée) dans le *Guide de l'utilisateur Amazon RDS*.
### Correction
Pour obtenir des instructions détaillées sur l'activation de la surveillance améliorée pour votre instance de base de données, consultez la section [Configuration et activation de la surveillance améliorée](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) dans le *guide de l'utilisateur Amazon RDS*.
## [RDS.7] La protection contre la suppression des clusters RDS doit être activée
**Exigences connexes :** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données RDS. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données RDS.
Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
L'activation de la protection contre la suppression de clusters constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, un cluster RDS ne peut pas être supprimé. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
### Correction
Pour activer la protection contre la suppression pour un cluster de base de données RDS, consultez la section [Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) dans le guide de l'*utilisateur Amazon RDS*. Pour la **protection contre la suppression**, choisissez **Activer la protection contre la suppression**.
## [RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée
**Exigences connexes :** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (non personnalisable)
Ce contrôle vérifie si la protection contre les suppressions est activée sur vos instances de base de données RDS qui utilisent l'un des moteurs de base de données répertoriés. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une instance de base de données RDS.
L'activation de la protection contre la suppression d'instance constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, une instance de base de données RDS ne peut pas être supprimée. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
### Correction
Pour activer la protection contre la suppression pour une instance de base de données RDS, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'*utilisateur Amazon RDS.* Pour la **protection contre la suppression**, choisissez **Activer la protection contre la suppression**.
## [RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de base de données Amazon RDS est configurée pour publier les journaux suivants sur Amazon CloudWatch Logs. Le contrôle échoue si l'instance n'est pas configurée pour publier les journaux suivants dans CloudWatch Logs :
+ Oracle : alerte, audit, suivi, écouteur
+ PostgreSQL : PostgreSQL, mise à niveau
+ MySQL : audit, erreur, général, SlowQuery
+ MariaDB : audit, erreur, général, SlowQuery
+ SQL Server : erreur, agent
+ Aurora : audit, erreur, général, SlowQuery
+ Aurora-MySQL : audit, erreur, général, SlowQuery
+ Aurora-PostgreSQL : PostgreSQL
Les journaux pertinents doivent être activés dans les bases de données RDS. La journalisation de la base de données fournit des enregistrements détaillés des demandes adressées à RDS. Les journaux de base de données peuvent faciliter les audits de sécurité et d'accès et peuvent aider à diagnostiquer les problèmes de disponibilité.
### Correction
Pour plus d'informations sur la publication des journaux de base de données RDS dans CloudWatch Logs, consultez [la section Spécification des CloudWatch journaux à publier dans Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) dans le guide de l'*utilisateur Amazon RDS*.
## [RDS.10] L'authentification IAM doit être configurée pour les instances RDS
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée sur une instance de base de données RDS. Le contrôle échoue si l'authentification IAM n'est pas configurée pour les instances de base de données RDS. Ce contrôle évalue uniquement les instances RDS dotées des types de moteurs suivants :`mysql`,,`postgres`, `aurora` `aurora-mysql``aurora-postgresql`, et. `mariadb` Une instance RDS doit également être dans l'un des états suivants pour qu'une recherche soit générée :`available`, `backing-up``storage-optimization`, ou`storage-full`.
L'authentification de base de données IAM permet d'authentifier les instances de base de données à l'aide d'un jeton d'authentification au lieu d'un mot de passe. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter [Authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) dans le *Guide de l'utilisateur Amazon Aurora*.
### Correction
Pour activer l'authentification de base de données IAM sur une instance de base de données RDS, consultez la section [Activation et désactivation de l'authentification de base de données IAM dans](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) le guide de l'utilisateur *Amazon* RDS.
## [RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupRetentionMinimum` | Durée minimale de conservation des sauvegardes en jours | Entier | `7` sur `35` | `7` |
| `checkReadReplicas` | Vérifie si les sauvegardes des instances de base de données RDS sont activées pour les répliques en lecture | Booléen | Non personnalisable | `false` |
Ce contrôle vérifie si les sauvegardes automatisées sont activées sur une instance Amazon Relational Database Service et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Les répliques de lecture sont exclues de l'évaluation. Le contrôle échoue si les sauvegardes ne sont pas activées pour l'instance ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et renforcent la résilience de vos systèmes. Amazon RDS vous permet de configurer des instantanés quotidiens du volume complet de l'instance. Pour plus d'informations sur les sauvegardes automatisées Amazon RDS, consultez [Working with Backups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) dans le guide de l'*utilisateur Amazon RDS*.
### Correction
Pour activer les sauvegardes automatisées sur une instance de base de données RDS, consultez la section [Activation des sauvegardes automatisées](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) dans le guide de l'*utilisateur Amazon RDS*.
## [RDS.12] L'authentification IAM doit être configurée pour les clusters RDS
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée sur un cluster de base de données Amazon RDS.
L'authentification de base de données IAM permet une authentification sans mot de passe pour les instances de base de données. L'authentification utilise un jeton d'authentification. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter [Authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) dans le *Guide de l'utilisateur Amazon Aurora*.
### Correction
Pour activer l'authentification IAM pour un cluster de base de données, consultez la section [Activation et désactivation de l'authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) dans le guide de l'utilisateur *Amazon Aurora*.
## [RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.2.2, CIS AWS Foundations Benchmark v3.0.0/2.3.2, Nist.800-53.R5 SI-2, Nist.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l'instance de base de données RDS.
Les mises à niveau automatiques des versions mineures mettent régulièrement à jour une base de données vers les versions récentes du moteur de base de données. Toutefois, la mise à niveau n’inclut pas toujours la dernière version du moteur de base de données. Si vous devez conserver des versions spécifiques de vos bases de données à un moment donné, nous vous recommandons de procéder à une mise à niveau manuelle vers les versions de base de données dont vous avez besoin conformément au calendrier requis. En cas de problèmes de sécurité critiques ou lorsqu'une version atteint sa end-of-support date limite, Amazon RDS peut appliquer une mise à niveau de version mineure même si vous n'avez pas activé l'option de **mise à niveau automatique de la version mineure**. Pour plus d'informations, consultez la documentation de mise à niveau d'Amazon RDS pour votre moteur de base de données spécifique :
+ [Mises à niveau automatiques des versions mineures pour RDS pour MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Mises à niveau automatiques des versions mineures pour RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Mises à niveau automatiques des versions mineures pour RDS pour PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Versions de DB2 sur Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Mises à niveau des versions mineures d'Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Mises à niveau du moteur de base de données Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)
### Correction
Pour activer les mises à niveau automatiques de versions mineures pour une instance de base de données existante, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'*utilisateur Amazon RDS*. Pour la **mise à niveau automatique de la version mineure**, sélectionnez **Oui**.
## [RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora
**Exigences connexes :** NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `BacktrackWindowInHours` | Nombre d'heures nécessaires pour effectuer le suivi d'un cluster Aurora MySQL | Double | `0.1` sur `72` | Aucune valeur par défaut |
Ce contrôle vérifie si le retour en arrière est activé sur un cluster Amazon Aurora. Le contrôle échoue si le retour en arrière n'est pas activé sur le cluster. Si vous fournissez une valeur personnalisée pour le `BacktrackWindowInHours` paramètre, le contrôle est transféré uniquement si le cluster fait l'objet d'un retour en arrière pendant la durée spécifiée.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. Le retour en arrière d'Aurora réduit le délai de restauration d'une base de données à un point précis dans le temps. Pour ce faire, il n'est pas nécessaire de restaurer la base de données.
### Correction
Pour activer le retour en arrière sur Aurora, consultez [la section Configuration du retour arrière dans](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) le guide de l'*utilisateur Amazon Aurora*.
Notez que vous ne pouvez pas activer le retour en arrière sur un cluster existant. Au lieu de cela, vous pouvez créer un clone sur lequel le retour en arrière est activé. Pour plus d'informations sur les limites du retour en arrière d'Aurora, consultez la liste des limitations dans [Vue d'ensemble du retour en arrière](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html).
## [RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos clusters de base de données RDS. Le contrôle échoue si un cluster de base de données RDS n'est pas déployé dans plusieurs zones de disponibilité (AZs).
Les clusters de base de données RDS doivent être configurés pour plusieurs AZs afin de garantir la disponibilité des données stockées. Le déploiement sur plusieurs AZs sites permet un basculement automatique en cas de problème de disponibilité de l'AZ et lors d'événements de maintenance RDS réguliers.
### Correction
Pour déployer vos clusters de base de données en plusieurs AZs, [modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) dans le guide de l'*utilisateur Amazon RDS*.
Les étapes de correction diffèrent pour les bases de données globales Aurora. Pour configurer plusieurs zones de disponibilité pour une base de données globale Aurora, sélectionnez votre cluster de base de données. Choisissez ensuite **Actions** et **Ajouter un lecteur**, puis spécifiez plusieurs AZs. Pour plus d'informations, consultez la section [Ajouter des répliques Aurora à un cluster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) de bases de données dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier - Inventaire
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle :** `rds-cluster-copy-tags-to-snapshots-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Aurora est configuré pour copier automatiquement les balises dans les instantanés du cluster de base de données lorsque les instantanés sont créés. Le contrôle échoue si le cluster de base de données Aurora n'est pas configuré pour copier automatiquement les balises dans les instantanés du cluster lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur tous vos clusters de bases de données Amazon Aurora afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures pour remédier aux points faibles potentiels. Les instantanés de base de données Aurora doivent avoir les mêmes balises que leurs clusters de base de données parents. Dans Amazon Aurora, vous pouvez configurer un cluster de base de données pour copier automatiquement toutes les balises du cluster dans des instantanés du cluster. L'activation de ce paramètre garantit que les instantanés de base de données héritent des mêmes balises que leurs clusters de base de données parents.
### Correction
Pour plus d'informations sur la configuration d'un cluster de base de données Amazon Aurora pour copier automatiquement des balises dans des instantanés de base de données, consultez la section [Modification d'un cluster de base de données Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier - Inventaire
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `rds-instance-copy-tags-to-snapshots-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances de base de données RDS sont configurées pour copier toutes les balises dans les instantanés lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur toutes vos instances de base de données RDS afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures sur les points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs instances de base de données RDS parentes. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs instances de base de données parentes.
### Correction
Pour copier automatiquement les balises dans les instantanés d'une instance de base de données RDS, consultez la section [Modification d'une instance de base de données Amazon RDS dans le guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) de l'utilisateur *Amazon RDS*. Sélectionnez **Copier les balises dans les instantanés**.
## [RDS.18] Les instances RDS doivent être déployées dans un VPC
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Élevée
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `rds-deployed-in-vpc` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance Amazon RDS est déployée sur un EC2-VPC.
Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux ressources RDS. Ces contrôles incluent les points de terminaison VPC, les ACL réseau et les groupes de sécurité. Pour tirer parti de ces contrôles, nous vous recommandons de créer vos instances RDS sur un EC2-VPC.
### Correction
Pour obtenir des instructions sur le déplacement d'instances RDS vers un VPC, [consultez la section Mise à jour du VPC pour une instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) de base de données dans le guide de l'utilisateur *Amazon* RDS.
## [RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-cluster-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les clusters de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
```
DBCluster: ["maintenance","failure"]
```
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements du cluster RDS, consultez la section [S'abonner aux notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) dans le guide de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | Clusters |
| Clusters à inclure | Tous les clusters |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-instance-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les instances de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
```
DBInstance: ["maintenance","configuration change","failure"]
```
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section [S'abonner aux notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) dans le guide de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | instances |
| Instances à inclure | Toutes les instances |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-pg-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
```
DBParameterGroup: ["configuration change"]
```
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements de groupes de paramètres de base de données RDS, consultez la section [Abonnement aux notifications d'événements Amazon RDS dans le guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | Groupes de paramètres |
| Groupes de paramètres à inclure | Tous les groupes de paramètres |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-sg-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
```
DBSecurityGroup: ["configuration change","failure"]
```
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section [S'abonner aux notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) dans le guide de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | Groupes de sécurité |
| Groupes de sécurité à inclure | Tous les groupes de sécurité |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `rds-no-default-ports` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster ou une instance RDS utilise un port autre que le port par défaut du moteur de base de données. Le contrôle échoue si le cluster ou l'instance RDS utilise le port par défaut. Ce contrôle ne s'applique pas aux instances RDS qui font partie d'un cluster.
Si vous utilisez un port connu pour déployer un cluster ou une instance RDS, un attaquant peut deviner des informations sur le cluster ou l'instance. L'attaquant peut utiliser ces informations conjointement avec d'autres informations pour se connecter à un cluster ou à une instance RDS ou obtenir des informations supplémentaires sur votre application.
Lorsque vous modifiez le port, vous devez également mettre à jour les chaînes de connexion existantes qui ont été utilisées pour vous connecter à l'ancien port. Vous devez également vérifier le groupe de sécurité de l'instance de base de données pour vous assurer qu'il inclut une règle d'entrée qui autorise la connectivité sur le nouveau port.
### Correction
Pour modifier le port par défaut d'une instance de base de données RDS existante, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'utilisateur *Amazon RDS.* Pour modifier le port par défaut d'un cluster de base de données RDS existant, consultez la section [Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) dans le *guide de l'utilisateur Amazon Aurora*. Pour le **port de base de données**, remplacez la valeur du port par une valeur autre que celle par défaut.
## [RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de bases de données Amazon RDS a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB). Cette règle échouera si le nom d'utilisateur de l'administrateur est défini sur la valeur par défaut.
Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la création de la base de données RDS. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
### Correction
Pour modifier le nom d'utilisateur d'administrateur associé au cluster de bases de données Amazon RDS, [créez un nouveau cluster de base de données RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) et modifiez le nom d'utilisateur d'administrateur par défaut lors de la création de la base de données.
## [RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si vous avez modifié le nom d'utilisateur administratif des instances de base de données Amazon Relational Database Service (Amazon RDS) par rapport à la valeur par défaut. Le contrôle échoue si le nom d'utilisateur administratif est défini sur la valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB), ni aux instances RDS qui font partie d'un cluster.
Les noms d'utilisateur administratifs par défaut sur les bases de données Amazon RDS sont de notoriété publique. Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administratif par défaut par une valeur unique afin de réduire le risque d'accès involontaire.
### Correction
Pour modifier le nom d'utilisateur administratif associé à une instance de base de données RDS, [créez d'abord une nouvelle instance de base de données RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Modifiez le nom d'utilisateur administratif par défaut lors de la création de la base de données.
## [RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Le contrôle produit un `PASSED` résultat si le paramètre est défini sur true et si la ressource utilise AWS Backup Vault Lock. | Booléen | `true` ou `false` | Aucune valeur par défaut |
Ce contrôle évalue si les instances de base de données Amazon RDS sont couvertes par un plan de sauvegarde. Ce contrôle échoue si l'instance de base de données RDS n'est pas couverte par un plan de sauvegarde. Si vous définissez le `backupVaultLockCheck` paramètre égal à`true`, le contrôle est transféré uniquement si l'instance est sauvegardée dans un coffre-fort AWS Backup verrouillé.
**Note**
Ce contrôle n'évalue pas les instances de Neptune et DocumentDB. Il n'évalue pas non plus les instances de base de données RDS membres d'un cluster.
AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données d'un bout à l'autre. Services AWS Avec AWS Backup, vous pouvez créer des politiques de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos besoins en matière de sauvegarde, notamment la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. L'inclusion d'instances de base de données RDS dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
### Correction
Pour ajouter une instance de base de données RDS à un plan de AWS Backup sauvegarde, consultez la section [Affectation de ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le Guide du *AWS Backup développeur*.
## [RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données RDS est chiffré au repos. Le contrôle échoue si un cluster de base de données RDS n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données RDS protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
### Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données RDS. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section [Chiffrement d'un cluster de base de données Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.28] Les clusters de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle :** `tagged-rds-dbcluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un cluster de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**AWS Config règle :** `tagged-rds-dbclustersnapshot` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un instantané de cluster de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le snapshot du cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot du cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un instantané de cluster de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.30] Les instances de base de données RDS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `tagged-rds-dbinstance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une instance de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'instance de base de données ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de base de données n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une instance de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBSecurityGroup`
**AWS Config règle :** `tagged-rds-dbsecuritygroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sécurité de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le groupe de sécurité de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sécurité de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe de sécurité de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.32] Les instantanés de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBSnapshot`
**AWS Config règle :** `tagged-rds-dbsnapshot` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un instantané de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le snapshot de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un instantané de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBSubnetGroup`
**AWS Config règle :** `tagged-rds-dbsubnetgroups` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sous-réseaux de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de sous-réseaux de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe de sous-réseaux de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon* RDS.
## [RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Aurora MySQL est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster n'est pas configuré pour publier les journaux d'audit dans CloudWatch Logs. Le contrôle ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1.
Les journaux d'audit enregistrent l'activité de la base de données, y compris les tentatives de connexion, les modifications de données, les modifications de schéma et d'autres événements pouvant être audités à des fins de sécurité et de conformité. Lorsque vous configurez un cluster de base de données Aurora MySQL pour publier des journaux d'audit dans un groupe de CloudWatch journaux dans Amazon Logs, vous pouvez effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.
**Note**
Une autre méthode pour publier les journaux d'audit dans Logs consiste à CloudWatch activer l'audit avancé et à définir le paramètre de base de données au niveau du cluster sur. `server_audit_logs_upload` `1` La valeur par défaut `server_audit_logs_upload parameter` est`0`. Toutefois, nous vous recommandons d'utiliser plutôt les instructions de correction suivantes pour passer ce contrôle.
### Correction
Pour publier les journaux d'audit du cluster de bases de données Aurora MySQL dans CloudWatch Logs, consultez la section [Publication des journaux Amazon Aurora MySQL sur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour un cluster de base de données Amazon RDS Multi-AZ. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour le cluster de base de données multi-AZ.
RDS fournit une mise à niveau automatique des versions mineures afin que vous puissiez maintenir votre cluster de base de données multi-AZ à jour. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les clusters de bases de données RDS, le cluster, ainsi que les instances du cluster, recevront des mises à jour automatiques de la version mineure lorsque de nouvelles versions seront disponibles. Les mises à jour sont appliquées automatiquement pendant la fenêtre de maintenance.
### Correction
Pour activer la mise à niveau automatique des versions mineures sur les clusters de base de données multi-AZ, consultez la section [Modification d'un cluster de base de données multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) dans le guide de l'*utilisateur Amazon RDS.*
## [RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logTypes` | Liste séparée par des virgules des types de journaux à publier dans Logs CloudWatch | StringList | Non personnalisable | `postgresql` |
Ce contrôle vérifie si une instance de base de données Amazon RDS pour PostgreSQL est configurée pour publier des journaux sur Amazon Logs. CloudWatch Le contrôle échoue si l'instance de base de données PostgreSQL n'est pas configurée pour publier les types de journaux mentionnés dans `logTypes` le paramètre dans Logs. CloudWatch
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à une instance RDS. PostgreSQL génère des journaux d'événements qui contiennent des informations utiles pour les administrateurs. La publication de ces CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dansCloudWatch.
### Correction
*Pour publier les journaux des instances de base de données PostgreSQL dans Logs, consultez CloudWatch la section [Publication des journaux PostgreSQL sur Amazon Logs dans le guide de l'utilisateur CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs).*
## [RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Aurora PostgreSQL est configuré pour publier des journaux sur Amazon Logs. CloudWatch Le contrôle échoue si le cluster de base de données Aurora PostgreSQL n'est pas configuré pour publier les journaux PostgreSQL dans Logs. CloudWatch
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à un cluster RDS. Aurora PostgreSQL génère des journaux d'événements contenant des informations utiles pour les administrateurs. La publication de ces CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.
### Correction
*Pour publier les journaux CloudWatch du cluster de base de données Aurora PostgreSQL dans Logs, consultez la section Publication des journaux [Aurora PostgreSQL sur Amazon Logs dans le guide de l'utilisateur CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html).*
## [RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une connexion à une instance Amazon RDS for PostgreSQL de base de données (DB) est chiffrée en transit. Le contrôle échoue si le `rds.force_ssl` paramètre du groupe de paramètres associé à l'instance est défini sur `0` (off). Ce contrôle n'évalue pas les instances de base de données RDS qui font partie d'un cluster de base de données.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
*Pour exiger que toutes les connexions à votre instance de base de données RDS pour PostgreSQL utilisent le protocole SSL, [consultez la section Utilisation du protocole SSL avec une instance de base de données PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) dans le guide de l'utilisateur Amazon RDS.*
## [RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une connexion à une instance Amazon RDS for MySQL de base de données (DB) est chiffrée en transit. Le contrôle échoue si le `rds.require_secure_transport` paramètre du groupe de paramètres associé à l'instance est défini sur `0` (off). Ce contrôle n'évalue pas les instances de base de données RDS qui font partie d'un cluster de base de données.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Pour exiger que toutes les connexions à votre instance de base de données RDS for MySQL utilisent le protocole SSL, consultez le [support SSL/TLS pour les instances de base de données MySQL sur Amazon RDS dans le guide de l'utilisateur *Amazon* RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html).
## [RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logTypes` | Liste des types de journaux qu'une instance de base de données RDS pour SQL Server doit être configurée pour publier dans CloudWatch Logs. Ce contrôle échoue si une instance de base de données n'est pas configurée pour publier un type de journal spécifié dans la liste. | EnumList (maximum de 2 articles) | `agent`, `error` | `agent`, `error` |
Ce contrôle vérifie si une instance de base de données Amazon RDS pour Microsoft SQL Server est configurée pour publier des journaux sur CloudWatch Amazon Logs. Le contrôle échoue si l'instance de base de données RDS pour SQL Server n'est pas configurée pour publier les journaux dans CloudWatch Logs. Vous pouvez éventuellement spécifier les types de journaux qu'une instance de base de données doit être configurée pour publier.
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à une instance de base de données Amazon RDS. La publication des CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. En outre, vous pouvez l'utiliser pour créer des alarmes pour des erreurs spécifiques susceptibles de se produire, telles que des redémarrages fréquents enregistrés dans un journal des erreurs. De même, vous pouvez créer des alarmes pour les erreurs ou les avertissements enregistrés dans les journaux de l'agent SQL Server relatifs aux tâches de l'agent SQL.
### Correction
Pour plus d'informations sur la publication de journaux dans les CloudWatch journaux d'une instance de base de données RDS pour SQL Server, consultez les fichiers [journaux de base de données Amazon RDS for Microsoft SQL Server dans *le guide de l'utilisateur d'Amazon Relational* Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) Service.
## [RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une connexion à une instance de base de données Amazon RDS pour Microsoft SQL Server est chiffrée en transit. Le contrôle échoue si le `rds.force_ssl` paramètre du groupe de paramètres associé à l'instance de base de données est défini sur`0 (off)`.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds d'un cluster de base de données ou entre un cluster de base de données et une application cliente. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque que des utilisateurs non autorisés écoutent le trafic réseau.
### Correction
Pour plus d'informations sur l'activation SSL/TLS des connexions aux instances de base de données Amazon RDS exécutant Microsoft SQL Server, consultez la section [Utilisation du protocole SSL avec une instance de base de données Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) dans le guide de l'*utilisateur d'Amazon Relational Database Service*.
## [RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logTypes` | Liste des types de journaux qu'une instance de base de données MariaDB doit être configurée pour publier dans Logs. CloudWatch Le contrôle génère un `FAILED` résultat si une instance de base de données n'est pas configurée pour publier un type de journal spécifié dans la liste. | EnumList (maximum de 4 articles) | `audit`, `error`, `general`, `slowquery` | `audit, error` |
Ce contrôle vérifie si une instance de base de données Amazon RDS for MariaDB est configurée pour publier certains types de journaux sur Amazon Logs. CloudWatch Le contrôle échoue si l'instance de base de données MariaDB n'est pas configurée pour publier les journaux dans Logs. CloudWatch Vous pouvez éventuellement spécifier les types de journaux qu'une instance de base de données MariaDB doit être configurée pour publier.
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à une instance de base de données Amazon RDS for MariaDB. La publication des CloudWatch journaux sur Amazon Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. En outre, CloudWatch Logs conserve les journaux dans un espace de stockage durable, qui peut prendre en charge les examens et audits de sécurité, d'accès et de disponibilité. Avec CloudWatch Logs, vous pouvez également créer des alarmes et consulter les métriques.
### Correction
*Pour plus d'informations sur la configuration d'une instance de base de données Amazon RDS pour MariaDB afin de publier des journaux sur Amazon Logs, [consultez la section Publication de journaux MariaDB CloudWatch sur Amazon Logs dans CloudWatch le guide de l'utilisateur d'Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Database Service.*
## [RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBProxy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un proxy de base de données Amazon RDS nécessite le protocole TLS pour toutes les connexions entre le proxy et l'instance de base de données RDS sous-jacente. Le contrôle échoue si le proxy n'exige pas le protocole TLS pour toutes les connexions entre le proxy et l'instance de base de données RDS.
Amazon RDS Proxy peut servir de couche de sécurité supplémentaire entre les applications clientes et les instances de base de données RDS sous-jacentes. Par exemple, vous pouvez vous connecter à un proxy RDS à l'aide de TLS 1.3, même si l'instance de base de données sous-jacente prend en charge une ancienne version de TLS. En utilisant le proxy RDS, vous pouvez appliquer des exigences d'authentification strictes pour les applications de base de données.
### Correction
Pour plus d'informations sur la modification des paramètres d'un proxy Amazon RDS afin d'exiger le protocole TLS, consultez la section [Modification d'un proxy RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) dans le guide de l'utilisateur d'*Amazon Relational Database Service*.
## [RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les connexions à une instance de base de données Amazon RDS for MariaDB sont chiffrées en transit. Le contrôle échoue si le groupe de paramètres de base de données associé à l'instance de base de données n'est pas synchronisé ou si le `require_secure_transport` paramètre du groupe de paramètres n'est pas défini sur`ON`.
**Note**
Ce contrôle n'évalue pas les instances de base de données Amazon RDS qui utilisent des versions de MariaDB antérieures à la version 10.5. Le `require_secure_transport` paramètre n'est pris en charge que pour les versions 10.5 et ultérieures de MariaDB.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds d'un cluster de base de données ou entre un cluster de base de données et une application cliente. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque que des utilisateurs non autorisés écoutent le trafic réseau.
### Correction
*Pour plus d'informations sur l'activation SSL/TLS des connexions à une instance de base de données Amazon RDS pour MariaDB[, SSL/TLS consultez la section Exiger toutes les connexions à une instance de base de données MariaDB dans le guide de l'utilisateur d'Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Database Service.*
## [RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster de bases de données Amazon Aurora MySQL. Le contrôle échoue si le groupe de paramètres de base de données associé au cluster de base de données n'est pas synchronisé, si le `server_audit_logging` paramètre n'est pas défini sur ou si le `server_audit_events` paramètre est défini sur une valeur vide. `1`
Les journaux de base de données peuvent faciliter les audits de sécurité et d'accès et aider à diagnostiquer les problèmes de disponibilité. Les journaux d'audit enregistrent l'activité de la base de données, y compris les tentatives de connexion, les modifications de données, les modifications de schéma et d'autres événements pouvant être audités à des fins de sécurité et de conformité.
### Correction
Pour plus d'informations sur l'activation de la journalisation pour un cluster de bases de données Amazon Aurora MySQL, consultez la section [Publication des journaux Amazon Aurora MySQL sur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de base de données Amazon RDS est déployée dans un sous-réseau public doté d'une route vers une passerelle Internet. Le contrôle échoue si l'instance de base de données RDS est déployée dans un sous-réseau doté d'une route vers une passerelle Internet et que la destination est définie sur ou. `0.0.0.0/0` `::/0`
En provisionnant vos ressources Amazon RDS dans des sous-réseaux privés, vous pouvez empêcher vos ressources RDS de recevoir du trafic entrant depuis l'Internet public, ce qui peut empêcher tout accès involontaire à vos instances de base de données RDS. Si les ressources RDS sont provisionnées dans un sous-réseau public ouvert à Internet, elles peuvent être vulnérables à des risques tels que l'exfiltration de données.
### Correction
Pour plus d'informations sur le provisionnement d'un sous-réseau privé pour une instance de base de données Amazon RDS, consultez la section [Utilisation d'une instance de base de données dans un VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) dans le guide de l'utilisateur d'*Amazon Relational Database Service*.
## [RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon RDS pour PostgreSQL est configuré pour copier automatiquement des balises dans les instantanés du cluster de bases de données lors de leur création. Le contrôle échoue si le `CopyTagsToSnapshot` paramètre est défini sur `false` pour le cluster de base de données RDS pour PostgreSQL.
La copie de balises dans des instantanés de base de données permet de garantir un suivi des ressources, une gouvernance et une répartition des coûts appropriés entre les ressources de sauvegarde. Cela permet une identification cohérente des ressources, un contrôle d'accès et une surveillance de la conformité à la fois sur les bases de données actives et sur leurs instantanés. Les snapshots correctement balisés améliorent les opérations de sécurité en garantissant que les ressources de sauvegarde héritent des mêmes métadonnées que leurs bases de données sources.
### Correction
Pour plus d'informations sur la configuration d'un cluster de base de données Amazon RDS pour PostgreSQL afin de copier automatiquement les balises dans les instantanés de base de données, [consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur d'Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) *Relational* Database Service.
## [RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon RDS for MySQL est configuré pour copier automatiquement les balises dans les instantanés du cluster de base de données lors de leur création. Le contrôle échoue si le `CopyTagsToSnapshot` paramètre est défini sur `false` pour le cluster de base de données RDS pour MySQL.
La copie de balises dans des instantanés de base de données permet de garantir un suivi des ressources, une gouvernance et une répartition des coûts appropriés entre les ressources de sauvegarde. Cela permet une identification cohérente des ressources, un contrôle d'accès et une surveillance de la conformité à la fois sur les bases de données actives et sur leurs instantanés. Les snapshots correctement balisés améliorent les opérations de sécurité en garantissant que les ressources de sauvegarde héritent des mêmes métadonnées que leurs bases de données sources.
### Correction
Pour plus d'informations sur la configuration d'un cluster de base de données Amazon RDS for MySQL afin de copier automatiquement les balises dans les instantanés de base de données, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur d'*Amazon Relational Database Service*.
## [RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Période minimale de conservation des sauvegardes, en jours, pour que le contrôle puisse les vérifier | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si un cluster de base de données RDS dispose d'une période minimale de rétention des sauvegardes. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la valeur de paramètre spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée, Security Hub utilise une valeur par défaut de 7 jours.
Ce contrôle vérifie si un cluster de base de données RDS dispose d'une période minimale de rétention des sauvegardes. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la valeur de paramètre spécifiée. À moins que vous ne fournissiez une valeur de paramètre client, Security Hub utilise une valeur par défaut de 7 jours. Ce contrôle s'applique à tous les types de clusters de base de données RDS, y compris les clusters de base de données Aurora, les clusters DocumentDB, les clusters NeptuneDB, etc.
### Correction
Pour configurer la période de rétention des sauvegardes pour un cluster de base de données RDS, modifiez les paramètres du cluster et définissez la période de rétention des sauvegardes sur au moins 7 jours (ou sur la valeur spécifiée dans le paramètre de contrôle). Pour obtenir des instructions détaillées, consultez la section [Durée de conservation des sauvegardes](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) dans le guide de l'*utilisateur d'Amazon Relational Database Service*. Pour les clusters de base de données Aurora, consultez la section [Présentation de la sauvegarde et de la restauration d'un cluster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) de base de données *Aurora dans le guide de l'utilisateur Amazon Aurora pour Aurora*. Pour les autres types de clusters de base de données (par exemple les clusters DocumentDB), consultez le guide de l'utilisateur du service correspondant pour savoir comment mettre à jour la période de conservation des sauvegardes pour le cluster.
# Contrôles CSPM du Security Hub pour Amazon Redshift
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Redshift. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont accessibles au public. Il évalue le `PubliclyAccessible` champ dans l'élément de configuration du cluster.
L'`PubliclyAccessible`attribut de la configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec `PubliclyAccessible` set to`true`, il s'agit d'une instance connectée à Internet dont le nom DNS peut être résolu publiquement et qui est résolu en adresse IP publique.
Lorsque le cluster n'est pas accessible au public, il s'agit d'une instance interne avec un nom DNS qui se résout en une adresse IP privée. À moins que vous ne souhaitiez que votre cluster soit accessible au public, le cluster ne doit pas être configuré avec la `PubliclyAccessible` valeur définie sur`true`.
### Correction
Pour mettre à jour un cluster Amazon Redshift afin de désactiver l'accès public, consultez la section [Modification d'un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) dans le guide de gestion *Amazon Redshift*. Réglez **Accessible au public** sur **Non**.
## [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les connexions aux clusters Amazon Redshift sont nécessaires pour utiliser le chiffrement pendant le transit. La vérification échoue si le paramètre du cluster Amazon Redshift `require_SSL` n'est pas défini sur. `True`
Le protocole TLS peut être utilisé pour empêcher les attaquants potentiels de recourir person-in-the-middle à des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via TLS devraient être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.
### Correction
Pour mettre à jour un groupe de paramètres Amazon Redshift afin d'exiger le chiffrement, consultez la section [Modification d'un groupe de paramètres](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) dans le guide de gestion *Amazon Redshift*. Réglé `require_ssl` sur **True**.
## [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `MinRetentionPeriod` | Durée minimale de conservation des instantanés en jours | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si les instantanés automatisés sont activés dans un cluster Amazon Redshift et si la période de conservation est supérieure ou égale à la période spécifiée. Le contrôle échoue si les instantanés automatisés ne sont pas activés pour le cluster ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent la résilience de vos systèmes. Amazon Redshift prend des instantanés périodiques par défaut. Ce contrôle vérifie si les instantanés automatiques sont activés et conservés pendant au moins sept jours. *Pour plus de détails sur les instantanés automatisés Amazon Redshift, consultez la section Instantanés [automatisés dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) Amazon Redshift.*
### Correction
Pour mettre à jour la période de conservation des instantanés pour un cluster Amazon Redshift, consultez la section [Modification d'un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) dans le guide de gestion *Amazon Redshift*. Pour **Backup**, définissez la **rétention des snapshots** sur une valeur supérieure ou égale à 7.
## [Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**AWS Config règle :** `redshift-cluster-audit-logging-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon Redshift.
La journalisation des audits Amazon Redshift fournit des informations supplémentaires sur les connexions et les activités des utilisateurs dans votre cluster. Ces données peuvent être stockées et sécurisées dans Amazon S3 et peuvent être utiles dans le cadre d'audits et d'enquêtes de sécurité. Pour plus d'informations, consultez la section [Journalisation des audits de base](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) de données dans le *guide de gestion Amazon Redshift*.
### Correction
Pour configurer la journalisation des audits pour un cluster Amazon Redshift, consultez la [section Configuration de l'audit à l'aide de la console](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) dans le guide de gestion *Amazon Redshift*.
## [Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `allowVersionUpgrade = true`(non personnalisable)
Ce contrôle vérifie si les mises à niveau automatiques des versions majeures sont activées pour le cluster Amazon Redshift.
L'activation des mises à niveau automatiques des versions majeures garantit que les dernières mises à jour des versions majeures des clusters Amazon Redshift sont installées pendant la période de maintenance. Ces mises à jour peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
### Correction
Pour résoudre ce problème à partir de AWS CLI, utilisez la commande Amazon `modify-cluster` Redshift et définissez `--allow-version-upgrade` l'attribut. `clustername`est le nom de votre cluster Amazon Redshift.
```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```
## [Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie :** Protection > Configuration réseau sécurisée > Accès privé à l'API
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon Redshift est `EnhancedVpcRouting` activé.
Le routage VPC amélioré force tout le `UNLOAD` trafic entre le cluster `COPY` et les référentiels de données à passer par votre VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
### Correction
Pour obtenir des instructions de correction détaillées, consultez la section [Activation du routage VPC amélioré](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) dans le guide de gestion *Amazon Redshift*.
## [Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Ce contrôle échouera si le nom d'utilisateur de l'administrateur d'un cluster Redshift est défini sur. `awsuser`
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la configuration. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
### Correction
Vous ne pouvez pas modifier le nom d'utilisateur administrateur de votre cluster Amazon Redshift après l'avoir créé. Pour créer un nouveau cluster avec un nom d'utilisateur autre que le nom d'utilisateur par défaut, consultez l'[étape 1 : créer un exemple de cluster Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) dans le guide de démarrage *Amazon Redshift*.
## [Redshift.10] Les clusters Redshift doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont chiffrés au repos. Le contrôle échoue si un cluster Redshift n'est pas chiffré au repos ou si la clé de chiffrement est différente de la clé fournie dans le paramètre de règle.
Dans Amazon Redshift, vous pouvez activer le chiffrement des bases de données pour vos clusters afin de protéger les données au repos. Lorsque vous activez le chiffrement pour un cluster, les blocs de données et les métadonnées système sont chiffrés pour le cluster et ses instantanés. Le chiffrement des données au repos est une bonne pratique recommandée car il ajoute une couche de gestion des accès à vos données. Le chiffrement des clusters Redshift au repos réduit le risque qu'un utilisateur non autorisé puisse accéder aux données stockées sur le disque.
### Correction
Pour modifier un cluster Redshift afin d'utiliser le chiffrement KMS, consultez la section [Modification du chiffrement du cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) dans le guide de gestion *Amazon Redshift*.
## [Redshift.11] Les clusters Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::Cluster`
**AWS Config règle :** `tagged-redshift-cluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un cluster Redshift, consultez la section [Ressources de balisage dans Amazon Redshift dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon Redshift.*
## [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::EventSubscription`
**AWS Config règle :** `tagged-redshift-eventsubscription` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un abonnement aux notifications d'événements Redshift, consultez les [ressources de balisage dans Amazon Redshift dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon Redshift.*
## [Redshift.13] Les instantanés du cluster Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::ClusterSnapshot`
**AWS Config règle :** `tagged-redshift-clustersnapshot` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un instantané de cluster Redshift, consultez la section [Ressources de balisage dans Amazon Redshift dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon Redshift.*
## [Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config règle :** `tagged-redshift-clustersubnetgroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un groupe de sous-réseaux du cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de sous-réseaux du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un groupe de sous-réseaux du cluster Redshift, consultez la section Ressources de [balisage dans Amazon Redshift dans le guide de gestion Amazon](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Redshift.*
## [Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes
**Exigences connexes :** PCI DSS v4.0.1/1.3.1
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de sécurité associé à un cluster Amazon Redshift possède des règles d'entrée qui autorisent l'accès au port du cluster depuis Internet (0.0.0.0/0 ou : :/0). Le contrôle échoue si les règles d'entrée du groupe de sécurité autorisent l'accès au port du cluster depuis Internet.
L'autorisation d'un accès entrant illimité au port du cluster Redshift (adresse IP avec un suffixe /0) peut entraîner un accès non autorisé ou des incidents de sécurité. Nous recommandons d'appliquer le principe du moindre privilège d'accès lors de la création de groupes de sécurité et de la configuration des règles de trafic entrant.
### Correction
Pour limiter l'entrée sur le port du cluster Redshift aux origines restreintes, [consultez la section Utiliser les règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) dans le guide de l'utilisateur *Amazon VPC*. Mettez à jour les règles selon lesquelles la plage de ports correspond au port du cluster Redshift et la plage de ports IP est de 0.0.0.0/0.
## [Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::ClusterSubnetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Le contrôle vérifie si un groupe de sous-réseaux du cluster Amazon Redshift possède des sous-réseaux provenant de plusieurs zones de disponibilité (AZ). Le contrôle échoue si le groupe de sous-réseaux du cluster ne possède pas de sous-réseaux provenant d'au moins deux sous-réseaux différents. AZs
La configuration de sous-réseaux sur plusieurs réseaux permet de AZs garantir que votre entrepôt de données Redshift peut continuer à fonctionner même en cas de panne.
### Correction
*Pour modifier un groupe de sous-réseaux de cluster Redshift afin qu'il en couvre plusieurs AZs, consultez la section [Modification d'un groupe de sous-réseaux de cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) dans le guide de gestion Amazon Redshift.*
## [Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::ClusterParameterGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de paramètres de cluster Amazon Redshift possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le groupe de paramètres ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de paramètres ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un groupe de paramètres de cluster Amazon Redshift, consultez la section [Ressources relatives aux balises dans Amazon Redshift dans](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) le guide de gestion Amazon *Redshift*.
## [Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les déploiements de plusieurs zones de disponibilité (multi-AZ) sont activés pour un cluster Amazon Redshift. Le contrôle échoue si les déploiements multi-AZ ne sont pas activés pour le cluster Amazon Redshift.
Amazon Redshift prend en charge les déploiements de plusieurs zones de disponibilité (multi-AZ) pour les clusters provisionnés. Si les déploiements multi-AZ sont activés pour un cluster, un entrepôt de données Amazon Redshift peut continuer à fonctionner en cas de panne lorsqu'un événement inattendu se produit dans une zone de disponibilité (AZ). Un déploiement multi-AZ déploie des ressources de calcul dans plusieurs AZ et ces ressources de calcul sont accessibles via un seul point de terminaison. En cas de défaillance complète d'une zone de disponibilité, les ressources de calcul restantes d'une autre zone de disponibilité sont disponibles pour poursuivre le traitement des charges de travail. Vous pouvez convertir un entrepôt de données mono-AZ existant en entrepôt de données multi-AZ. Des ressources de calcul supplémentaires sont ensuite provisionnées dans une seconde zone de disponibilité.
### Correction
*Pour plus d'informations sur la configuration des déploiements multi-AZ pour un cluster Amazon Redshift, [consultez la section Conversion d'un entrepôt de données mono-AZ en entrepôt de données multi-AZ dans](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) le guide de gestion Amazon Redshift.*
# Contrôles CSPM du Security Hub pour Amazon Redshift Serverless
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Redshift Serverless. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Élevée
**Type de ressource :** `AWS::RedshiftServerless::Workgroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le routage VPC amélioré est activé pour un groupe de travail Amazon Redshift Serverless. Le contrôle échoue si le routage VPC amélioré est désactivé pour le groupe de travail.
Si le routage VPC amélioré est désactivé pour un groupe de travail Amazon Redshift Serverless, Amazon Redshift achemine le trafic via Internet, y compris le trafic vers d'autres services du réseau. AWS Si vous activez le routage VPC amélioré pour un groupe de travail, Amazon Redshift force tout le `UNLOAD` trafic entre votre cluster `COPY` et vos référentiels de données via votre cloud privé virtuel (VPC) basé sur le service Amazon VPC. Grâce au routage VPC amélioré, vous pouvez utiliser les fonctionnalités VPC standard pour contrôler le flux de données entre votre cluster Amazon Redshift et les autres ressources. Cela inclut des fonctionnalités telles que les groupes de sécurité VPC et les politiques relatives aux terminaux, les listes de contrôle d'accès au réseau (ACLs) et les serveurs DNS (Domain Name System). Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic`COPY`. `UNLOAD`
### Correction
*Pour plus d'informations sur le routage VPC amélioré et sur la manière de l'activer pour un groupe de travail, consultez la section [Contrôle du trafic réseau avec le routage VPC amélioré Redshift dans](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) le guide de gestion Amazon Redshift.*
## [RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Workgroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si des connexions à un groupe de travail Amazon Redshift Serverless sont nécessaires pour chiffrer les données en transit. Le contrôle échoue si le paramètre `require_ssl` de configuration du groupe de travail est défini sur. `false`
Un groupe de travail Amazon Redshift Serverless est un ensemble de ressources de calcul qui regroupe des ressources informatiques telles que des groupes de sous-réseaux RPUs VPC et des groupes de sécurité. Les propriétés d'un groupe de travail incluent les paramètres réseau et de sécurité. Ces paramètres indiquent si les connexions à un groupe de travail doivent être requises pour utiliser le protocole SSL afin de chiffrer les données en transit.
### Correction
*Pour plus d'informations sur la mise à jour des paramètres d'un groupe de travail Amazon Redshift Serverless afin d'exiger des connexions SSL, consultez la section Connexion à [Amazon Redshift Serverless dans le guide de gestion Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html).*
## [RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::RedshiftServerless::Workgroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès public est désactivé pour un groupe de travail Amazon Redshift Serverless. Il évalue les `publiclyAccessible` propriétés d'un groupe de travail Redshift Serverless. Le contrôle échoue si l'accès public est activé (`true`) pour le groupe de travail.
Le paramètre public access (`publiclyAccessible`) d'un groupe de travail Amazon Redshift Serverless indique si le groupe de travail est accessible depuis un réseau public. Si l'accès public est activé (`true`) pour un groupe de travail, Amazon Redshift crée une adresse IP élastique qui rend le groupe de travail accessible au public depuis l'extérieur du VPC. Si vous ne souhaitez pas qu'un groupe de travail soit accessible au public, désactivez-le.
### Correction
*Pour plus d'informations sur la modification du paramètre d'accès public pour un groupe de travail Amazon Redshift Serverless, consultez la section [Affichage des propriétés d'un groupe de travail dans le](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) guide de gestion Amazon Redshift.*
## [RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys
**Exigences connexes :** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Namespace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Une liste des noms de ressources Amazon (ARNs) AWS KMS keys à inclure dans l'évaluation. Le contrôle permet de déterminer si `FAILED` un espace de noms Redshift Serverless n'est pas chiffré avec une clé KMS dans la liste. | StringList (maximum de 3 articles) | 1 à 3 ARNs des clés KMS existantes. Par exemple : `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Aucune valeur par défaut |
Ce contrôle vérifie si un espace de noms Amazon Redshift Serverless est chiffré au repos et géré par un client. AWS KMS key Le contrôle échoue si l'espace de noms Redshift Serverless n'est pas chiffré à l'aide d'une clé KMS gérée par le client. Vous pouvez éventuellement spécifier une liste de clés KMS que le contrôle doit inclure dans l'évaluation.
Dans Amazon Redshift sans serveur, un espace de noms définit un conteneur logique pour les objets de la base de données. Ce contrôle vérifie régulièrement si les paramètres de chiffrement d'un espace de noms spécifient une clé KMS gérée par le client AWS KMS key, au lieu d'une clé KMS AWS gérée, pour le chiffrement des données dans l'espace de noms. Avec une clé KMS gérée par le client, vous avez le contrôle total de la clé. Cela inclut la définition et le maintien de la politique des clés, la gestion des subventions, la rotation du matériel cryptographique, l'attribution de balises, la création d'alias, ainsi que l'activation et la désactivation de la clé.
### Correction
*Pour plus d'informations sur la mise à jour des paramètres de chiffrement pour un espace de noms Amazon Redshift Serverless et sur la spécification d'un espace de noms géré par [le AWS KMS key client AWS KMS key, consultez la section Modification des paramètres d'un espace de noms dans le guide](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) de gestion Amazon Redshift.*
## [RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Namespace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le nom d'utilisateur d'un espace de noms Amazon Redshift Serverless est le nom d'utilisateur d'administrateur par défaut. `admin` Le contrôle échoue si le nom d'utilisateur administrateur de l'espace de noms Redshift Serverless est. `admin`
Lorsque vous créez un espace de noms Amazon Redshift Serverless, vous devez spécifier un nom d'utilisateur administrateur personnalisé pour cet espace de noms. Le nom d'utilisateur de l'administrateur par défaut est public knowledge. En spécifiant un nom d'utilisateur d'administrateur personnalisé, vous pouvez, par exemple, contribuer à atténuer le risque ou l'efficacité des attaques par force brute contre l'espace de noms.
### Correction
Vous pouvez modifier le nom d'utilisateur administrateur d'un espace de noms Amazon Redshift Serverless à l'aide de la console ou de l'API Amazon Redshift Serverless. Pour le modifier à l'aide de la console, choisissez la configuration de l'espace de noms, puis choisissez **Modifier les informations d'identification de l'administrateur** dans le menu **Actions**. Pour le modifier par programmation, utilisez l'[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)opération ou, si vous utilisez la AWS CLI, exécutez la commande [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html). Si vous modifiez le nom d'utilisateur administrateur, vous devez également modifier le mot de passe administrateur en même temps.
## [RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Namespace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un espace de noms Amazon Redshift Serverless est configuré pour exporter les connexions et les journaux des utilisateurs vers Amazon Logs. CloudWatch Le contrôle échoue si l'espace de noms Redshift Serverless n'est pas configuré pour exporter les journaux vers Logs. CloudWatch
Si vous configurez Amazon Redshift Serverless pour exporter les données du journal de connexion (`connectionlog`) et du journal utilisateur (`userlog`) vers un groupe de CloudWatch journaux dans Amazon Logs, vous pouvez collecter et stocker vos enregistrements de journal dans un stockage durable, qui peut prendre en charge les examens et audits de sécurité, d'accès et de disponibilité. Avec CloudWatch Logs, vous pouvez également effectuer une analyse en temps réel des données des journaux et les utiliser CloudWatch pour créer des alarmes et examiner les métriques.
### Correction
Pour exporter les données de journal d'un espace de noms Amazon Redshift Serverless vers CloudWatch Amazon Logs, les journaux respectifs doivent être sélectionnés pour être exportés dans les paramètres de configuration de journalisation d'audit de l'espace de noms. Pour plus d'informations sur la mise à jour de ces paramètres, consultez la section [Modifier la sécurité et le chiffrement](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) dans le *guide de gestion Amazon Redshift*.
# Contrôles Security Hub CSPM pour Route 53
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Route 53.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Route53::HealthCheck`
**AWS Config règle :** `tagged-route53-healthcheck` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un bilan de santé d'Amazon Route 53 comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le bilan de santé ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le contrôle de santé n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un bilan de santé de Route 53, consultez la section [Désignation et balisage des contrôles de santé](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) dans le *guide du développeur Amazon Route 53*.
## [Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Route53::HostedZone`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des requêtes DNS est activée pour une zone hébergée publique Amazon Route 53. Le contrôle échoue si la journalisation des requêtes DNS n'est pas activée pour une zone hébergée publique Route 53.
L'enregistrement des requêtes DNS pour une zone hébergée Route 53 répond aux exigences de sécurité et de conformité du DNS et garantit la visibilité. Les journaux incluent des informations telles que le domaine ou le sous-domaine interrogé, la date et l'heure de la requête, le type d'enregistrement DNS (par exemple, A ou AAAA) et le code de réponse DNS (par exemple, ou). `NoError` `ServFail` Lorsque la journalisation des requêtes DNS est activée, Route 53 publie les fichiers CloudWatch journaux sur Amazon Logs.
### Correction
Pour enregistrer les requêtes DNS pour les zones hébergées publiques de Route 53, consultez la [section Configuration de la journalisation des requêtes DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) dans le manuel *Amazon Route 53 Developer Guide*.
# Contrôles CSPM du Security Hub pour Amazon S3
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Storage Service (Amazon S3). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6, (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 AWS NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `ignorePublicAcls`: `true` (non personnalisable)
+ `blockPublicPolicy`: `true` (non personnalisable)
+ `blockPublicAcls`: `true` (non personnalisable)
+ `restrictPublicBuckets`: `true` (non personnalisable)
Ce contrôle vérifie si les paramètres d'accès public de bloc Amazon S3 précédents sont configurés au niveau du compte pour un compartiment S3 à usage général. Le contrôle échoue si un ou plusieurs paramètres de blocage de l'accès public sont définis sur`false`.
Le contrôle échoue si l'un des paramètres est défini sur ou s'il n'est pas configuré. `false`
Le bloc d'accès public Amazon S3 est conçu pour fournir des contrôles sur l'ensemble Compte AWS ou au niveau d'un compartiment S3 individuel afin de garantir que les objets ne soient jamais accessibles au public. L'accès public est accordé aux compartiments et aux objets via des listes de contrôle d'accès (ACLs), des politiques de compartiments, ou les deux.
À moins que vous n'ayez l'intention de rendre vos compartiments S3 accessibles au public, vous devez configurer la fonctionnalité Amazon S3 Block Public Access au niveau du compte.
Pour en savoir plus, consultez la section [Utilisation d'Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
### Correction
Pour activer Amazon S3 Block Public Access pour votre compte Compte AWS, consultez la [section Configuration des paramètres de blocage de l'accès public pour votre compte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## [S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)
**Type de calendrier :** périodique et déclenché par des modifications
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 autorise l'accès public en lecture. Il évalue les paramètres de blocage d'accès public, la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. Le contrôle échoue si le bucket autorise l'accès public en lecture.
**Note**
Si un compartiment S3 possède une politique de compartiment, ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique de compartiment doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
Certains cas d'utilisation peuvent nécessiter que tout le monde sur Internet soit capable de lire depuis votre compartiment S3. Cependant, ces situations sont rares. Pour garantir l'intégrité et la sécurité de vos données, votre compartiment S3 ne doit pas être lisible publiquement.
### Correction
Pour bloquer l'accès public en lecture sur vos compartiments Amazon S3, consultez la [section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
## [S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, 1, (7), (21), (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)
**Type de calendrier :** périodique et déclenché par des modifications
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 autorise l'accès public en écriture. Il évalue les paramètres de blocage d'accès public, la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. Le contrôle échoue si le bucket autorise l'accès public en écriture.
**Note**
Si un compartiment S3 possède une politique de compartiment, ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique de compartiment doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
Certains cas d'utilisation nécessitent que tout le monde sur Internet puisse écrire dans votre compartiment S3. Cependant, ces situations sont rares. Pour garantir l'intégrité et la sécurité de vos données, votre compartiment S3 ne doit pas accorder l’accès public en écriture.
### Correction
Pour bloquer l'accès public en écriture à vos compartiments Amazon S3, consultez la [section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
## [S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3, 3 (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), ( NIST.800-53.r5 SC-12), NIST.800-53.R5 AWS SI-7 (6), NIST.800-53.r5 SC-2 NIST.800-171.R2 3.13.8, NIST.800-53.r5 SC-7 IST.800-171.R2 3.13.15, NIST.800-53.r5 SC-8 PCI DSS v3.2.1/4.1, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 possède une politique qui exige que les demandes utilisent le protocole SSL. Le contrôle échoue si la politique du bucket n'exige pas que les demandes utilisent le protocole SSL.
Les compartiments S3 doivent avoir des politiques qui obligent toutes les requêtes (`Action: S3:*`) à accepter uniquement la transmission de données via HTTPS dans la politique de ressources S3, indiquée par la clé `aws:SecureTransport` de condition.
### Correction
Pour mettre à jour une politique de compartiment Amazon S3 afin de refuser le transport non sécurisé, consultez la section [Ajout d'une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Ajoutez une déclaration de politique similaire à celle de la stratégie suivante. `amzn-s3-demo-bucket`Remplacez-le par le nom du bucket que vous modifiez.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
Pour plus d'informations, consultez [Quelle politique de compartiment S3 dois-je utiliser pour me conformer à la AWS Config règle s3- bucket-ssl-requests-only ?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) dans le *centre de connaissances AWS officiel*.
## [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.13.4
**Catégorie : Protection** > Gestion des accès sécurisés > Actions d'opérations d'API sensibles restreintes
**Gravité :** Élevée
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config** :[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (non personnalisable)
Ce contrôle vérifie si une politique de compartiment à usage général d'Amazon S3 empêche les principaux d' Comptes AWS effectuer des actions refusées sur les ressources du compartiment S3. Le contrôle échoue si la politique du bucket autorise une ou plusieurs des actions précédentes pour un principal dans un autre Compte AWS.
La mise en œuvre de l'accès avec le moindre privilège est fondamentale pour réduire les risques de sécurité et l'impact des erreurs ou des intentions malveillantes. Si une politique de compartiment S3 autorise l'accès depuis des comptes externes, cela peut entraîner l'exfiltration de données par une menace interne ou un attaquant.
Le `blacklistedactionpatterns` paramètre permet une évaluation réussie de la règle pour les compartiments S3. Le paramètre donne accès à des comptes externes pour les modèles d'action qui ne sont pas inclus dans la `blacklistedactionpatterns` liste.
### Correction
Pour mettre à jour une politique de compartiment Amazon S3 afin de supprimer des autorisations, consultez. [Ajout d'une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Sur la page **Modifier la politique du compartiment**, dans la zone de texte d'édition de la politique, effectuez l'une des actions suivantes :
+ Supprimez les déclarations qui accordent à d'autres personnes Comptes AWS l'accès aux actions refusées.
+ Supprimez les actions refusées autorisées des déclarations.
## [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
**Exigences associées :** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.R5 NIST.800-53.r5 SC-5 SI-13 (5)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la réplication entre régions est activée dans un compartiment à usage général Amazon S3. Le contrôle échoue si la réplication entre régions n'est pas activée sur le compartiment.
La réplication est la copie automatique et asynchrone d'objets dans des compartiments identiques ou différents. Régions AWS La réplication copie les objets nouvellement créés et les mises à jour d'objets d'un compartiment source vers un ou plusieurs compartiments de destination. AWS les meilleures pratiques recommandent la réplication pour les compartiments source et de destination qui leur appartiennent. Compte AWS En plus de la disponibilité, vous devriez envisager d'autres paramètres de sécurisation renforcée des systèmes.
Ce contrôle produit une `FAILED` recherche pour un compartiment de destination de réplication si la réplication entre régions n'est pas activée. S'il existe une raison légitime pour laquelle le compartiment de destination n'a pas besoin de réplication entre régions pour être activé, vous pouvez supprimer les résultats pour ce compartiment.
### Correction
Pour activer la réplication entre régions sur un compartiment S3, consultez la [section Configuration de la réplication pour les compartiments source et de destination appartenant au même compte dans le](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) guide de l'*utilisateur d'Amazon Simple Storage Service*. Pour le **compartiment source**, choisissez **Appliquer à tous les objets du compartiment**.
## [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Élevée
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `excludedPublicBuckets`(non personnalisable) — Liste séparée par des virgules des noms de compartiments publics S3 connus et autorisés
Ce contrôle vérifie si un bucket Amazon S3 à usage général bloque l'accès public au niveau du bucket. Le contrôle échoue si l'un des paramètres suivants est défini sur `false` :
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`
Bloquer l'accès public au niveau du compartiment S3 fournit des contrôles pour garantir que les objets n'ont jamais d'accès public. L'accès public est accordé aux compartiments et aux objets via des listes de contrôle d'accès (ACLs), des politiques de compartiments, ou les deux.
À moins que vous n'ayez l'intention de rendre vos compartiments S3 accessibles au public, vous devez configurer la fonctionnalité Amazon S3 Block Public Access au niveau du bucket.
### Correction
Pour plus d'informations sur la façon de supprimer l'accès public au niveau d'un bucket, consultez la section [Blocage de l'accès public à votre espace de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), nIST.800-171.R2 3.3.8, PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des accès au serveur est activée pour un compartiment à usage général Amazon S3. Le contrôle échoue si la journalisation des accès au serveur n'est pas activée. Lorsque la journalisation est activée, Amazon S3 fournit les journaux d'accès d'un compartiment source à un compartiment cible choisi. Le compartiment cible doit se trouver dans le même compartiment Région AWS que le compartiment source et aucune période de rétention par défaut ne doit être configurée. Il n'est pas nécessaire que la journalisation des accès au serveur soit activée pour le compartiment de journalisation cible, et vous devez supprimer les résultats relatifs à ce compartiment.
La journalisation des accès au serveur fournit des enregistrements détaillés des demandes adressées à un bucket. Les journaux d'accès aux serveurs peuvent faciliter les audits de sécurité et d'accès. Pour plus d'informations, consultez [Bonnes pratiques de sécurité pour Amazon S3 : activer la journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).
### Correction
Pour activer la journalisation de l'accès au serveur Amazon S3, consultez la section [Activation de la journalisation de l'accès au serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) *Amazon S3 dans le guide de l'utilisateur* Amazon S3.
## [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment versionné à usage général Amazon S3 possède une configuration Lifecycle. Le contrôle échoue si le bucket n'a pas de configuration Lifecycle.
Nous vous recommandons de créer une configuration du cycle de vie pour votre compartiment S3 afin de vous aider à définir les actions que vous souhaitez qu'Amazon S3 entreprenne pendant le cycle de vie d'un objet.
### Correction
Pour plus d'informations sur la configuration du cycle de vie d'un compartiment Amazon S3, consultez Configuration de la [configuration du cycle de vie d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) et [Gestion du cycle de vie de votre stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).
## [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4), NIST.800-171.R2 3.3.8
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `eventTypes` | Liste des types d'événements S3 préférés | EnumList (maximum de 28 articles) | `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent` | Aucune valeur par défaut |
Ce contrôle vérifie si les notifications d'événements S3 sont activées sur un compartiment Amazon S3 à usage général. Le contrôle échoue si les notifications d'événements S3 ne sont pas activées sur le compartiment. Si vous fournissez des valeurs personnalisées pour le `eventTypes` paramètre, le contrôle est transmis uniquement si les notifications d'événements sont activées pour les types d'événements spécifiés.
Lorsque vous activez les notifications d'événements S3, vous recevez des alertes lorsque des événements spécifiques se produisent et ont un impact sur vos compartiments S3. Par exemple, vous pouvez être informé de la création, de la suppression ou de la restauration d'objets. Ces notifications peuvent alerter les équipes concernées en cas de modifications accidentelles ou intentionnelles susceptibles d'entraîner un accès non autorisé aux données.
### Correction
Pour plus d'informations sur la détection des modifications apportées aux compartiments et aux objets S3, consultez les [notifications d'événements Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 fournit des autorisations aux utilisateurs avec une liste de contrôle d'accès (ACL). Le contrôle échoue si une ACL est configurée pour gérer l'accès des utilisateurs sur le bucket.
ACLs sont des mécanismes de contrôle d'accès existants antérieurs à l'IAM. Nous vous recommandons plutôt d' ACLsutiliser des politiques de compartiment S3 ou des politiques Gestion des identités et des accès AWS (IAM) pour gérer l'accès à vos compartiments S3.
### Correction
Pour passer ce contrôle, vous devez le désactiver ACLs pour vos compartiments S3. Pour obtenir des instructions, consultez la section [Contrôle de la propriété des objets et désactivation ACLs de votre compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Pour créer une politique de compartiment S3, consultez [Ajouter une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Pour créer une politique utilisateur IAM sur un compartiment S3, consultez la section [Contrôle de l'accès à un compartiment avec des politiques utilisateur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).
## [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie :** Protéger > Protection des données
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `targetTransitionDays` | Nombre de jours après la création de l'objet lorsque les objets sont transférés vers une classe de stockage spécifiée | Entier | `1` sur `36500` | Aucune valeur par défaut |
| `targetExpirationDays` | Nombre de jours après la création de l'objet lorsque les objets sont supprimés | Entier | `1` sur `36500` | Aucune valeur par défaut |
| `targetTransitionStorageClass` | Type de classe de stockage S3 de destination | Enum | `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE` | Aucune valeur par défaut |
Ce contrôle vérifie si un compartiment à usage général Amazon S3 possède une configuration Lifecycle. Le contrôle échoue si le bucket n'a pas de configuration Lifecycle. Si vous fournissez des valeurs personnalisées pour un ou plusieurs des paramètres précédents, le contrôle est effectué uniquement si la politique inclut la classe de stockage, le délai de suppression ou le temps de transition spécifiés.
La création d'une configuration du cycle de vie pour votre compartiment S3 définit les actions que vous souhaitez qu'Amazon S3 entreprenne pendant le cycle de vie d'un objet. Par exemple, vous pouvez transférer des objets vers une autre classe de stockage, les archiver ou les supprimer après une période spécifiée.
### Correction
Pour plus d'informations sur la configuration des politiques de cycle de vie d'un compartiment Amazon S3, consultez [Configuration de la configuration du cycle de vie d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) et [Gestion du cycle de vie du stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Exigences connexes :** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5), NIST.800-171.R2 3.3.8
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le versionnement est activé dans un compartiment à usage général Amazon S3. Le contrôle échoue si la gestion des versions est suspendue pour le compartiment.
La gestion des versions conserve plusieurs variantes d'un objet dans le même compartiment S3. Vous pouvez utiliser le versionnement pour préserver, récupérer et restaurer les versions antérieures d'un objet stocké dans votre compartiment S3. La gestion des versions vous aide à vous remettre à la fois des actions involontaires de l'utilisateur et des défaillances d'applications.
**Astuce**
À mesure que le nombre d'objets dans un compartiment augmente en raison du versionnement, vous pouvez configurer une configuration Lifecycle pour archiver ou supprimer automatiquement les objets versionnés en fonction de règles. Pour plus d'informations, consultez [Amazon S3 Lifecycle Management pour les objets versionnés.](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/)
### Correction
Pour utiliser la gestion des versions sur un compartiment S3, consultez la section [Activation de la gestion des versions sur des compartiments](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) dans le guide de l'utilisateur *Amazon S3*.
## [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Exigences connexes :** NIST.800-53.R5 CP-6 (2), PCI DSS v4.0.1/10.5.1
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `mode` | Mode de rétention S3 Object Lock | Enum | `GOVERNANCE`, `COMPLIANCE` | Aucune valeur par défaut |
Ce contrôle vérifie si Object Lock est activé sur un bucket Amazon S3 à usage général. Le contrôle échoue si Object Lock n'est pas activé pour le bucket. Si vous fournissez une valeur personnalisée pour le `mode` paramètre, le contrôle est transmis uniquement si S3 Object Lock utilise le mode de rétention spécifié.
Vous pouvez utiliser S3 Object Lock pour stocker des objets à l'aide d'un modèle write-once-read-many (WORM). Object Lock peut aider à empêcher la suppression ou le remplacement d'objets dans des compartiments S3 pendant une durée déterminée ou indéfiniment. Vous pouvez utiliser le verrouillage des objets S3 pour satisfaire aux exigences réglementaires qui nécessitent le stockage WORM, ou pour ajouter une couche supplémentaire de protection contre la suppression et les modifications d'objet.
### Correction
Pour configurer le verrouillage des objets pour les compartiments S3 nouveaux et existants, consultez la [section Configuration du verrouillage des objets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Exigences connexes :** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9, NIST.800-171.R2 3.8.9, NIST.800-171.R2 3.13.16, PCI DSS v4.0.1/3.5.1
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 est chiffré avec un AWS KMS key (SSE-KMS ou DSSE-KMS). Le contrôle échoue si le compartiment est chiffré avec le chiffrement par défaut (SSE-S3).
Le chiffrement côté serveur (SSE) est le chiffrement des données à destination par l'application ou le service qui les reçoit. Sauf indication contraire de votre part, les compartiments S3 utilisent les clés gérées par Amazon S3 (SSE-S3) par défaut pour le chiffrement côté serveur. Toutefois, pour un contrôle accru, vous pouvez choisir de configurer des buckets pour utiliser le chiffrement côté serveur (SSE-KMS ou DSSE-KMS AWS KMS keys ) à la place. Amazon S3 chiffre vos données au niveau de l'objet lorsqu'il les écrit sur les disques des centres de AWS données et les déchiffre pour vous lorsque vous y accédez.
### Correction
*Pour chiffrer un compartiment S3 à l'aide de SSE-KMS, consultez la section [Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS) dans](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) le guide de l'utilisateur Amazon S3.* *Pour chiffrer un compartiment S3 à l'aide du DSSE-KMS, consultez la section [Spécification du chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html) dans le guide de l'utilisateur Amazon S3.*
## [S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::S3::AccessPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les paramètres de blocage de l'accès public sont activés sur un point d'accès Amazon S3. Le contrôle échoue si les paramètres de blocage de l'accès public ne sont pas activés pour le point d'accès.
La fonctionnalité Amazon S3 Block Public Access vous permet de gérer l'accès à vos ressources S3 à trois niveaux : le compte, le compartiment et le point d'accès. Les paramètres de chaque niveau peuvent être configurés indépendamment, ce qui vous permet de définir différents niveaux de restrictions d'accès public pour vos données. Les paramètres du point d'accès ne peuvent pas remplacer individuellement les paramètres les plus restrictifs des niveaux supérieurs (niveau du compte ou compartiment attribué au point d'accès). Au lieu de cela, les paramètres au niveau du point d'accès sont additifs, ce qui signifie qu'ils complètent et fonctionnent parallèlement aux paramètres des autres niveaux. À moins que vous ne souhaitiez qu'un point d'accès S3 soit accessible au public, vous devez activer les paramètres de blocage de l'accès public.
### Correction
Actuellement, Amazon S3 ne prend pas en charge la modification des paramètres de blocage de l’accès public d’un point d’accès après que ce point d’accès a été créé. Tous les paramètres de blocage de l'accès public sont activés par défaut lorsque vous créez un nouveau point d'accès. Nous vous recommandons de garder tous les paramètres activés, sauf si vous savez que vous avez un besoin spécifique de désactiver l’un d’entre eux. Pour plus d'informations, consultez [la section Gestion de l'accès public aux points d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## [S3.20] La suppression MFA des compartiments S3 à usage général doit être activée
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), ( AWS 2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la suppression par authentification multifactorielle (MFA) est activée pour un compartiment à usage général Amazon S3. Le contrôle échoue si la suppression MFA n'est pas activée pour le bucket. Le contrôle ne produit aucun résultat pour les compartiments dotés d'une configuration de cycle de vie.
Si vous activez le versionnement pour un bucket S3 à usage général, vous pouvez éventuellement ajouter un niveau de sécurité supplémentaire en configurant la suppression MFA pour le bucket. Dans ce cas, le propriétaire du compartiment doit inclure deux formes d'authentification dans toute demande de suppression d'une version d'un objet du compartiment ou de modification de l'état de version du compartiment. La suppression MFA renforce la sécurité si, par exemple, les informations de sécurité du propriétaire du compartiment sont compromises. La suppression MFA peut également aider à prévenir les suppressions accidentelles de compartiments en obligeant l'utilisateur à l'origine de l'action de suppression à prouver la possession physique d'un dispositif MFA à l'aide d'un code MFA, ce qui ajoute un niveau de friction et de sécurité supplémentaire à l'action de suppression.
**Note**
Ce contrôle produit un `PASSED` résultat uniquement si la suppression MFA est activée pour le compartiment à usage général S3. Pour activer la suppression MFA pour un bucket, le versionnement doit également être activé pour le bucket. Le versionnement des compartiments est une méthode qui permet de stocker plusieurs variantes d'un objet S3 dans le même compartiment. En outre, seul le propriétaire du bucket connecté en tant qu'utilisateur root peut activer la suppression MFA et effectuer des actions de suppression sur le bucket. Vous ne pouvez pas utiliser la suppression MFA avec un bucket dont le cycle de vie est configuré.
### Correction
Pour plus d'informations sur l'activation de la gestion des versions et la configuration de la suppression MFA pour un compartiment S3, [consultez la section Configuration de la suppression MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) dans le guide de l'utilisateur d'*Amazon Simple* Storage Service.
## [S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.8, CIS AWS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe Compte AWS au moins un journal AWS CloudTrail multirégional qui enregistre tous les événements d'écriture de données pour les compartiments Amazon S3. Le contrôle échoue si le compte ne dispose pas d'un journal multirégional enregistrant les événements de données d'écriture pour les compartiments S3.
Les opérations au niveau de l'objet S3, telles que`GetObject`, et `DeleteObject``PutObject`, sont appelées événements de données. Par défaut, CloudTrail n'enregistre pas les événements de données, mais vous pouvez configurer des sentiers pour enregistrer les événements de données pour les compartiments S3. Lorsque vous activez la journalisation au niveau de l'objet pour les événements d'écriture de données, vous pouvez enregistrer chaque accès individuel à un objet (fichier) dans un compartiment S3. L'activation de la journalisation au niveau de l'objet peut vous aider à respecter les exigences de conformité des données, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques de comportement des utilisateurs dans votre environnement Compte AWS et à agir sur l'activité des API au niveau des objets dans vos compartiments S3 à l'aide d'Amazon Events. CloudWatch Ce contrôle produit un `PASSED` résultat si vous configurez un suivi multirégional qui enregistre en écriture seule ou tous les types d'événements de données pour tous les compartiments S3.
### Correction
Pour activer la journalisation au niveau des objets pour les compartiments S3, consultez la section [Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3 dans](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) le guide de l'utilisateur d'*Amazon Simple Storage Service*.
## [S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe Compte AWS au moins un journal AWS CloudTrail multirégional qui enregistre tous les événements de lecture de données pour les compartiments Amazon S3. Le contrôle échoue si le compte ne dispose pas d'un journal multirégional enregistrant les événements de lecture des données pour les compartiments S3.
Les opérations au niveau de l'objet S3, telles que`GetObject`, et `DeleteObject``PutObject`, sont appelées événements de données. Par défaut, CloudTrail n'enregistre pas les événements de données, mais vous pouvez configurer des sentiers pour enregistrer les événements de données pour les compartiments S3. Lorsque vous activez la journalisation au niveau de l'objet pour les événements de lecture de données, vous pouvez enregistrer chaque accès individuel à un objet (fichier) dans un compartiment S3. L'activation de la journalisation au niveau de l'objet peut vous aider à respecter les exigences de conformité des données, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques de comportement des utilisateurs dans votre environnement Compte AWS et à agir sur l'activité des API au niveau des objets dans vos compartiments S3 à l'aide d'Amazon Events. CloudWatch Ce contrôle produit un `PASSED` résultat si vous configurez un suivi multirégional qui enregistre en lecture seule ou tous les types d'événements de données pour tous les compartiments S3.
### Correction
Pour activer la journalisation au niveau des objets pour les compartiments S3, consultez la section [Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3 dans](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) le guide de l'utilisateur d'*Amazon Simple Storage Service*.
## [S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés
**Exigences connexes :** PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::S3::MultiRegionAccessPoint`
**AWS Config règle :** `s3-mrap-public-access-blocked` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les paramètres de blocage de l'accès public sont activés sur un point d'accès multirégional Amazon S3. Le contrôle échoue lorsque les paramètres de blocage de l'accès public ne sont pas activés sur le point d'accès multirégional.
Les ressources accessibles au public peuvent entraîner un accès non autorisé, des violations de données ou l'exploitation de vulnérabilités. La restriction de l'accès par le biais de mesures d'authentification et d'autorisation permet de protéger les informations sensibles et de préserver l'intégrité de vos ressources.
### Correction
Par défaut, tous les paramètres de blocage de l'accès public sont activés pour un point d'accès multirégional S3. Pour plus d'informations, consultez la section [Blocage de l'accès public avec les points d'accès multirégionaux Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. Vous ne pouvez pas modifier les paramètres de blocage de l'accès public après la création du point d'accès multi-régions.
## [S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
**Catégorie :** Protéger > Protection des données
**Gravité : ** Faible
**Type de ressource :** `AWS::S3Express::DirectoryBucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `targetExpirationDays` | Le nombre de jours, après la création de l'objet, pendant lesquels les objets doivent expirer. | Entier | `1` sur `2147483647` | Aucune valeur par défaut |
Ce contrôle vérifie si des règles de cycle de vie sont configurées pour un compartiment d'annuaire S3. Le contrôle échoue si les règles de cycle de vie ne sont pas configurées pour le compartiment de répertoire ou si une règle de cycle de vie pour le compartiment spécifie des paramètres d'expiration qui ne correspondent pas à la valeur de paramètre que vous spécifiez éventuellement.
Dans Amazon S3, une configuration du cycle de vie est un ensemble de règles qui définissent les actions qu'Amazon S3 doit appliquer à un groupe d'objets dans un compartiment. Pour un compartiment d'annuaire S3, vous pouvez créer une règle de cycle de vie qui spécifie la date d'expiration des objets en fonction de leur âge (en jours). Vous pouvez également créer une règle de cycle de vie qui supprime les téléchargements partitionnés incomplets. Contrairement aux autres types de compartiments S3, tels que les compartiments à usage général, les compartiments de répertoire ne prennent pas en charge d'autres types d'actions relatives aux règles de cycle de vie, telles que la transition d'objets entre les classes de stockage.
### Correction
Pour définir une configuration de cycle de vie pour un compartiment d'annuaire S3, créez une règle de cycle de vie pour le compartiment. Pour plus d'informations, consultez la section [Création et gestion d'une configuration de cycle de vie pour votre compartiment d'annuaire](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
# Contrôles Security Hub CSPM pour l'IA SageMaker
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon SageMaker AI. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès direct à Internet est désactivé pour une instance de bloc-notes SageMaker AI. Le contrôle échoue si le `DirectInternetAccess` champ est activé pour l'instance de bloc-notes.
Si vous configurez votre instance SageMaker AI sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et modifier le paramètre par défaut sur **Disable—Accéder à Internet via un** VPC. Pour entraîner ou héberger des modèles à partir d'un ordinateur portable, vous devez avoir accès à Internet. Pour permettre l'accès à Internet, votre VPC doit disposer d'un point de terminaison d'interface (AWS PrivateLink) ou d'une passerelle NAT et d'un groupe de sécurité qui autorise les connexions sortantes. Pour en savoir plus sur la façon de connecter une instance de bloc-notes aux ressources d'un VPC, consultez la section [Connecter une instance de bloc-notes aux ressources d'un VPC dans](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) le manuel *Amazon SageMaker * AI Developer Guide. Vous devez également vous assurer que l'accès à votre configuration SageMaker AI est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM qui permettent aux utilisateurs de modifier les paramètres et les ressources de l' SageMaker IA.
### Correction
Vous ne pouvez pas modifier le paramètre d'accès à Internet après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance avec un accès Internet bloqué. Pour supprimer une instance de bloc-notes qui permet un accès direct à Internet, consultez la section [Utiliser des instances de bloc-notes pour créer des modèles : nettoyage](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) dans le manuel *Amazon SageMaker AI Developer Guide*. Pour recréer une instance de bloc-notes qui refuse l'accès à Internet, consultez la section [Créer une instance de bloc-notes](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Pour **Réseau, Accès direct à Internet**, choisissez **Désactiver : accéder à Internet via un VPC**.
## [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est lancée dans un cloud privé virtuel (VPC) personnalisé. Ce contrôle échoue si une instance de bloc-notes SageMaker AI n'est pas lancée dans un VPC personnalisé ou si elle est lancée dans le VPC du service SageMaker AI.
Les sous-réseaux sont une plage d'adresses IP au sein d'un VPC. Nous vous recommandons de conserver vos ressources dans un VPC personnalisé dans la mesure du possible afin de garantir une protection réseau sécurisée de votre infrastructure. Un Amazon VPC est un réseau virtuel dédié à votre. Compte AWS Avec un Amazon VPC, vous pouvez contrôler l'accès au réseau et la connectivité Internet de vos instances d' SageMaker AI Studio et de bloc-notes.
### Correction
Vous ne pouvez pas modifier le paramètre VPC après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance. Pour obtenir des instructions, consultez la section [Utiliser des instances de bloc-notes pour créer des modèles : nettoyage](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès root est activé pour une instance de bloc-notes Amazon SageMaker AI. Le contrôle échoue si l'accès root est activé pour une instance de bloc-notes SageMaker AI.
Conformément au principe du moindre privilège, il est recommandé en matière de sécurité de restreindre l'accès root aux ressources de l'instance afin d'éviter un surprovisionnement involontaire des autorisations.
### Correction
Pour restreindre l'accès root aux instances de bloc-notes SageMaker AI, consultez la section [Contrôler l'accès root à une instance de bloc-notes SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::EndpointConfig`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les variantes de production d'un point de terminaison Amazon SageMaker AI ont un nombre initial d'instances supérieur à 1. Le contrôle échoue si les variantes de production du point de terminaison ne possèdent qu'une seule instance initiale.
Les variantes de production exécutées avec un nombre d'instances supérieur à 1 permettent la redondance des instances multi-AZ gérée par l'IA. SageMaker Le déploiement de ressources sur plusieurs zones de disponibilité est une AWS bonne pratique pour garantir une haute disponibilité au sein de votre architecture. La haute disponibilité vous aide à vous remettre d'un incident de sécurité.
**Note**
Ce contrôle s'applique uniquement à la configuration du point de terminaison basée sur une instance.
### Correction
Pour plus d'informations sur les paramètres de configuration d'un point de terminaison, consultez la section [Créer une configuration de point de terminaison](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::Model`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée sur un modèle hébergé par Amazon SageMaker AI. Le contrôle échoue si le `EnableNetworkIsolation` paramètre du modèle hébergé est défini sur`False`.
SageMaker La formation à l'IA et les conteneurs d'inférence déployés sont compatibles avec Internet par défaut. Si vous ne souhaitez pas que l' SageMaker IA fournisse un accès réseau externe à vos conteneurs de formation ou d'inférence, vous pouvez activer l'isolation du réseau. Si vous activez l'isolation du réseau, aucun appel réseau entrant ou sortant ne peut être effectué vers ou depuis le conteneur modèle, y compris les appels vers ou depuis un autre conteneur. Services AWS En outre, aucune information AWS d'identification n'est mise à la disposition de l'environnement d'exécution du conteneur. L'activation de l'isolation du réseau permet d'empêcher tout accès involontaire à vos ressources d' SageMaker IA depuis Internet.
**Note**
Le 13 août 2025, Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément le fait que le contrôle vérifie le réglage du `EnableNetworkIsolation` paramètre des modèles hébergés par Amazon SageMaker AI. Auparavant, le titre de ce contrôle était : *SageMaker models should block inbound traffic*.
### Correction
Pour plus d'informations sur l'isolation du réseau pour les modèles d' SageMaker IA, consultez la section [Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez un modèle, vous pouvez activer l'isolation du réseau en définissant la valeur du `EnableNetworkIsolation` paramètre sur`True`.
## [SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SageMaker::AppImageConfig`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si la configuration d'image d'une application Amazon SageMaker AI (`AppImageConfig`) possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la configuration de l'image de l'application ne comporte aucune clé de balise ou si toutes les clés spécifiées par le `requiredKeyTags` paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration de l'image de l'application ne comporte aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à la configuration d'une image d'une application Amazon SageMaker AI (`AppImageConfig`), vous pouvez utiliser le [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)fonctionnement de l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande [add tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] les SageMaker images doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SageMaker::Image`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une image Amazon SageMaker AI possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si l'image ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'image ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à une image Amazon SageMaker AI, vous pouvez [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)utiliser l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande [add tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge
**Catégorie :** Détecter > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (non personnalisable)
Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est configurée pour s'exécuter sur une plate-forme prise en charge, en fonction de l'identifiant de plate-forme spécifié pour l'instance de bloc-notes. Le contrôle échoue si l'instance du bloc-notes est configurée pour s'exécuter sur une plate-forme qui n'est plus prise en charge.
Si la plate-forme d'une instance de bloc-notes Amazon SageMaker AI n'est plus prise en charge, elle risque de ne pas recevoir de correctifs de sécurité, de corrections de bogues ou d'autres types de mises à jour. Les instances Notebook peuvent continuer à fonctionner, mais elles ne recevront pas de mises à jour de sécurité SageMaker liées à l'IA ni de corrections de bogues critiques. Vous assumez les risques associés à l'utilisation d'une plateforme non prise en charge. Pour plus d'informations, consultez la section [JupyterLabGestion des versions](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
### Correction
Pour plus d'informations sur les plateformes actuellement prises en charge par Amazon SageMaker AI et sur la manière de les migrer, consultez les [instances de bloc-notes Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::DataQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic entre conteneurs est activé dans le cadre d'une définition de tâche de qualité des données Amazon SageMaker AI. Le contrôle échoue si le chiffrement du trafic entre conteneurs n'est pas activé dans la définition d'une tâche qui surveille la qualité et la dérive des données.
L'activation du chiffrement du trafic entre conteneurs protège les données ML sensibles lors du traitement distribué à des fins d'analyse de la qualité des données.
### Correction
Pour plus d'informations sur le chiffrement du trafic inter-conteneurs pour Amazon SageMaker AI, consultez la section [Protect communications between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) dans le manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer le chiffrement du trafic inter-conteneurs en définissant la valeur du `EnableInterContainerTrafficEncryption` paramètre sur. `True`
## [SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans une définition de tâche d'explicabilité du SageMaker modèle Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition de la tâche d'explicabilité du modèle.
L'activation du chiffrement du trafic inter-conteneurs protège les données ML sensibles telles que les données de modèle, les ensembles de données d'entraînement, les résultats de traitement intermédiaires, les paramètres et les poids des modèles lors du traitement distribué à des fins d'analyse d'explicabilité.
### Correction
Pour la définition d'une tâche d'explicabilité d'un SageMaker modèle existant, le chiffrement du trafic inter-conteneurs ne peut pas être mis à jour en place. Pour créer une nouvelle définition de tâche explicable du SageMaker modèle avec le chiffrement du trafic inter-conteneurs activé, utilisez l'API [ou](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) la [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) ou définissez [ CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)sur. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)`True`
## [SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::DataQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche de surveillance de la qualité des données Amazon SageMaker AI. Le contrôle échoue si l'isolation du réseau est désactivée lors de la définition d'une tâche qui surveille la qualité et la dérive des données.
L'isolation du réseau réduit la surface d'attaque et empêche l'accès externe, protégeant ainsi contre tout accès externe non autorisé, toute exposition accidentelle aux données et toute exfiltration potentielle de données.
### Correction
Pour plus d'informations sur l'isolation du réseau pour l' SageMaker IA, consultez la section [Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer l'isolation du réseau en définissant la valeur du `EnableNetworkIsolation` paramètre sur`True`.
## [SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée
**Catégorie : Protection** > Configuration réseau sécurisée > Configuration de la politique de ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelBiasJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche basée sur le biais d'un SageMaker modèle. Le contrôle échoue si l'isolation du réseau n'est pas activée dans la définition de la tâche de polarisation du modèle.
L'isolation du réseau empêche les tâches basées sur le biais du SageMaker modèle de communiquer avec des ressources externes via Internet. En activant l'isolation du réseau, vous vous assurez que les conteneurs de la tâche ne peuvent pas établir de connexions sortantes, réduisant ainsi la surface d'attaque et protégeant les données sensibles contre l'exfiltration. Cela est particulièrement important pour les tâches traitant des données réglementées ou sensibles.
### Correction
Pour activer l'isolation du réseau, vous devez créer une nouvelle définition de tâche de polarisation du modèle avec `EnableNetworkIsolation` le paramètre défini sur`True`. L'isolation du réseau ne peut pas être modifiée après la création de la définition de tâche. Pour créer une nouvelle définition de tâche basée sur le biais du modèle, consultez [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement en transit est activé pour le trafic entre conteneurs dans les définitions de tâches liées à la qualité des SageMaker modèles Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition d'une tâche de qualité du modèle.
Le chiffrement du trafic entre conteneurs protège les données transmises entre les conteneurs lors des tâches de surveillance de la qualité des modèles distribués. Par défaut, le trafic entre conteneurs n'est pas chiffré. L'activation du chiffrement permet de préserver la confidentialité des données pendant le traitement et de garantir le respect des exigences réglementaires en matière de protection des données en transit.
### Correction
Pour activer le chiffrement du trafic entre conteneurs pour la définition de tâche de qualité de votre SageMaker modèle Amazon, vous devez recréer la définition de tâche avec la configuration de chiffrement en transit appropriée. Pour créer une définition de tâche de qualité modèle, consultez [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::MonitoringSchedule`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans les plannings de SageMaker surveillance Amazon. Le contrôle échoue si un programme de surveillance est EnableNetworkIsolation défini sur faux ou n'est pas configuré
L'isolation du réseau empêche les tâches de surveillance de passer des appels réseau sortants, réduisant ainsi la surface d'attaque en éliminant l'accès à Internet depuis les conteneurs.
### Correction
Pour plus d'informations sur la configuration de l'isolation du réseau dans le NetworkConfig paramètre lors de la création ou de la mise à jour d'un calendrier de surveillance, consultez [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)le manuel *Amazon SageMaker AI Developer Guide*. [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)
## [SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelBiasJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans les définitions de tâches basées sur le SageMaker modèle Amazon lors de l'utilisation de plusieurs instances de calcul. Le contrôle échoue s'il `EnableInterContainerTrafficEncryption` est défini sur false ou s'il n'est pas configuré pour les définitions de tâches dont le nombre d'instances est supérieur ou égal à 2.
EInter-le chiffrement du trafic des conteneurs protège les données transmises entre les instances de calcul lors des tâches de surveillance du biais des modèles distribués. Le chiffrement empêche l'accès non autorisé aux informations relatives au modèle, telles que les poids transmis entre les instances.
### Correction
Pour activer le chiffrement du trafic entre conteneurs pour les définitions de tâches basées sur le biais du SageMaker modèle, définissez le `EnableInterContainerTrafficEncryption` paramètre sur `True` lorsque la définition de tâche utilise plusieurs instances de calcul. Pour plus d'informations sur la protection des communications entre les instances de calcul ML, consultez la section [Protéger les communications entre les instances de calcul ML dans le cadre d'un job de formation distribué](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
# Contrôles CSPM de Security Hub pour Secrets Manager
Ces AWS Security Hub CSPM contrôles évaluent le AWS Secrets Manager service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `maximumAllowedRotationFrequency` | Nombre maximum de jours autorisés pour la fréquence de rotation secrète | Entier | `1` sur `365` | Aucune valeur par défaut |
Ce contrôle vérifie si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique. Le contrôle échoue si le secret n'est pas configuré avec une rotation automatique. Si vous fournissez une valeur personnalisée pour le `maximumAllowedRotationFrequency` paramètre, le contrôle est transféré uniquement si le secret est automatiquement pivoté dans la fenêtre de temps spécifiée.
Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.
Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets. Pour en savoir plus sur la rotation, voir Rotation de [vos AWS Secrets Manager secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) dans le *guide de AWS Secrets Manager l'utilisateur*.
### Correction
Pour activer la rotation automatique pour les secrets de Secrets Manager, voir [Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) dans le *Guide de AWS Secrets Manager l'utilisateur*. Vous devez choisir et configurer une AWS Lambda fonction de rotation.
## [SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS Secrets Manager secret a été correctement pivoté en fonction du calendrier de rotation. Le contrôle échoue si tel `RotationOccurringAsScheduled` est le cas`false`. Le contrôle évalue uniquement les secrets dont la rotation est activée.
Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.
Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets.
En plus de configurer les secrets pour qu'ils pivotent automatiquement, vous devez vous assurer que ces secrets pivotent correctement en fonction du calendrier de rotation.
Pour en savoir plus sur la rotation, voir Rotation de [vos AWS Secrets Manager secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) dans le *guide de AWS Secrets Manager l'utilisateur*.
### Correction
Si la rotation automatique échoue, il est possible que Secrets Manager ait rencontré des erreurs lors de la configuration. Pour alterner les secrets dans Secrets Manager, vous utilisez une fonction Lambda qui définit la manière d'interagir avec la base de données ou le service propriétaire du secret.
Pour obtenir de l'aide pour diagnostiquer et corriger les erreurs courantes liées à la rotation des secrets, consultez la section [Résolution des problèmes liés à la AWS Secrets Manager rotation des secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
## [SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `unusedForDays` | Nombre maximal de jours pendant lesquels un secret peut rester inutilisé | Entier | `1` sur `365` | `90` |
Ce contrôle vérifie si un AWS Secrets Manager secret a été consulté dans le délai spécifié. Le contrôle échoue si un secret n'est pas utilisé au-delà de la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période d'accès, Security Hub CSPM utilise une valeur par défaut de 90 jours.
La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets non utilisés peuvent être utilisés à mauvais escient par leurs anciens utilisateurs, qui n'ont plus besoin d'accéder à ces secrets. De plus, au fur et à mesure que de plus en plus d'utilisateurs accèdent à un secret, quelqu'un peut l'avoir mal géré et divulgué à une entité non autorisée, ce qui augmente le risque d'abus. La suppression des secrets non utilisés permet de révoquer l'accès secret aux utilisateurs qui n'en ont plus besoin. Cela permet également de réduire le coût d'utilisation de Secrets Manager. Il est donc essentiel de supprimer régulièrement les secrets non utilisés.
### Correction
Pour supprimer les secrets inactifs de Secrets Manager, voir [Supprimer un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
## [SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `maxDaysSinceRotation` | Nombre maximum de jours pendant lesquels un secret peut rester inchangé | Entier | `1` sur `180` | `90` |
Ce contrôle vérifie si un AWS Secrets Manager secret fait l'objet d'une rotation au moins une fois dans le délai spécifié. Le contrôle échoue si un secret n'est pas modifié au moins aussi fréquemment. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rotation, Security Hub CSPM utilise une valeur par défaut de 90 jours.
La rotation des secrets peut vous aider à réduire le risque d'utilisation non autorisée de vos secrets dans votre Compte AWS. Les exemples incluent les informations d'identification de base de données, les mots de passe, les clés d'API tierces et même le texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, ils sont plus susceptibles d'être compromis.
À mesure que de plus en plus d'utilisateurs ont accès à un secret, il est plus probable que quelqu'un l'ait mal géré et l'ait divulgué à une entité non autorisée. Les secrets peuvent être divulgués à travers les journaux et les données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, les secrets doivent faire l’objet d’une rotation fréquente.
Vous pouvez configurer la rotation automatique pour les secrets dans AWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer les secrets à long terme par des secrets à court terme, réduisant ainsi considérablement le risque de compromission. Nous vous recommandons de configurer la rotation automatique de vos secrets Secrets Manager. Pour plus d’informations, consultez [Rotation de vos secrets AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) dans le *Guide de l’utilisateur AWS Secrets Manager *.
### Correction
Pour activer la rotation automatique pour les secrets de Secrets Manager, voir [Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) dans le *Guide de AWS Secrets Manager l'utilisateur*. Vous devez choisir et configurer une AWS Lambda fonction de rotation.
## [SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SecretsManager::Secret`
**AWS Config règle :** `tagged-secretsmanager-secret` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Secrets Manager secret possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le secret ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le secret n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un secret de Secrets Manager, voir [Tag AWS Secrets Manager secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS Service Catalog
Ce AWS Security Hub CSPM contrôle évalue le AWS Service Catalog service et les ressources. Il se peut que le contrôle ne soit pas disponible du tout Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation
**Exigences connexes :** NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::ServiceCatalog::Portfolio`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si des AWS Service Catalog actions sont des portefeuilles au sein d'une organisation lorsque l'intégration AWS Organizations est activée. Le contrôle échoue si les portefeuilles ne sont pas partagés au sein d'une organisation.
Le partage de portfolio uniquement au sein des Organisations permet de garantir qu'un portfolio n'est pas partagé avec des personnes incorrectes Comptes AWS. Pour partager un portefeuille de Service Catalog avec un compte au sein d'une organisation, Security Hub CSPM recommande d'utiliser `ORGANIZATION_MEMBER_ACCOUNT` plutôt que. `ACCOUNT` Cela simplifie l'administration en régissant l'accès accordé au compte dans l'ensemble de l'organisation. Si votre entreprise a besoin de partager des portefeuilles Service Catalog avec un compte externe, vous pouvez [supprimer automatiquement les résultats](automation-rules.md) de ce contrôle ou le [désactiver](disable-controls-overview.md).
### Correction
Pour activer le partage de portefeuille avec AWS Organizations, voir [Partage avec AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) dans le *guide de AWS Service Catalog l'administrateur*.
# Contrôles Security Hub CSPM pour Amazon SES
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Email Service (Amazon SES).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SES.1] Les listes de contacts SES doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SES::ContactList`
**AWS Config règle :** `tagged-ses-contactlist` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de contacts Amazon SES comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la liste de contacts ne comporte aucune clé de balise ou si elle ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la liste de contacts n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une liste de contacts Amazon SES, consultez [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)le manuel *Amazon SES API v2 Reference*.
## [SES.2] Les ensembles de configuration SES doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SES::ConfigurationSet`
**AWS Config règle :** `tagged-ses-configurationset` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un ensemble de configuration Amazon SES comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le jeu de configuration ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le jeu de configuration n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un ensemble de configuration Amazon SES, consultez [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)le manuel *Amazon SES API v2 Reference*.
## [SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SES::ConfigurationSet`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un ensemble de configuration Amazon SES nécessite des connexions TLS. Le contrôle échoue si la politique TLS n'est pas définie sur un ensemble de configuration. `'REQUIRE'`
Par défaut, Amazon SES utilise le protocole TLS opportuniste, ce qui signifie que les e-mails peuvent être envoyés non chiffrés s'il est impossible d'établir une connexion TLS avec le serveur de messagerie destinataire. L'application du protocole TLS pour l'envoi d'e-mails garantit que les messages ne sont délivrés que lorsqu'une connexion cryptée sécurisée peut être établie. Cela permet de protéger la confidentialité et l'intégrité du contenu des e-mails lors de leur transmission entre Amazon SES et le serveur de messagerie du destinataire. S'il n'est pas possible d'établir une connexion TLS sécurisée, le message ne sera pas délivré, empêchant ainsi toute exposition potentielle d'informations sensibles.
**Note**
Bien que le protocole TLS 1.3 soit le mode de livraison par défaut pour Amazon SES, sans l'application des exigences TLS par le biais d'ensembles de configuration, les messages peuvent potentiellement être envoyés en texte brut en cas d'échec d'une connexion TLS. Pour passer ce contrôle, vous devez configurer la politique TLS `'REQUIRE'` dans les options de livraison de votre ensemble de configuration SES. Lorsque le protocole TLS est requis, les messages ne sont délivrés que s'il est possible d'établir une connexion TLS avec le serveur de courrier récepteur.
### Correction
Pour configurer Amazon SES afin d'exiger des connexions TLS pour un ensemble de configuration, consultez [Amazon SES et les protocoles de sécurité](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) dans le *manuel du développeur Amazon SES*.
# Contrôles Security Hub CSPM pour Amazon SNS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Notification Service (Amazon SNS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6), NIST.800-171.R2 3.13.11, NIST.800-171.R2 3.13.16
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::SNS::Topic`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une rubrique Amazon SNS est chiffrée au repos à l'aide de clés gérées dans AWS Key Management Service ()AWS KMS. Les contrôles échouent si la rubrique SNS n'utilise pas de clé KMS pour le chiffrement côté serveur (SSE). Par défaut, SNS stocke les messages et les fichiers à l'aide du chiffrement du disque. Pour passer ce contrôle, vous devez choisir d'utiliser plutôt une clé KMS pour le chiffrement. Cela ajoute une couche de sécurité supplémentaire et offre une plus grande flexibilité en matière de contrôle d'accès.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues. Nous recommandons de chiffrer les rubriques SNS à l'aide de clés KMS pour renforcer la sécurité.
### Correction
Pour activer SSE pour une rubrique SNS, consultez la section [Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS dans le manuel Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) *Simple* Notification Service Developer Guide. Avant de pouvoir utiliser SSE, vous devez également configurer des AWS KMS key politiques pour autoriser le chiffrement des sujets ainsi que le chiffrement et le déchiffrement des messages. Pour plus d'informations, consultez [la section Configuration AWS KMS des autorisations](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) dans le *guide du développeur Amazon Simple Notification Service*.
## [SNS.2] L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::SNS::Topic`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour l'état de livraison des messages de notification envoyés à une rubrique Amazon SNS pour les points de terminaison. Ce contrôle échoue si la notification de l'état de livraison des messages n'est pas activée.
La journalisation joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des services. L'enregistrement de l'état de livraison des messages permet de fournir des informations opérationnelles, telles que les suivantes :
+ Savoir si un message a été distribué au point de terminaison Amazon SNS.
+ Identifiez la réponse envoyée à Amazon SNS par le point de terminaison Amazon SNS.
+ Déterminer le temps d'attente du message (le temps entre l'horodatage de publication et le transfert vers un point de terminaison Amazon SNS).
### Correction
Pour configurer l'enregistrement du statut de livraison pour un sujet, consultez le [statut de livraison des messages Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) dans le manuel du *développeur Amazon Simple Notification Service*.
## [SNS.3] Les sujets SNS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SNS::Topic`
**AWS Config règle :** `tagged-sns-topic` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une rubrique Amazon SNS comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le sujet ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le sujet n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une rubrique SNS, consultez la [section Configuration des balises de rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) dans le manuel *Amazon Simple Notification Service* Developer Guide.
## [SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::SNS::Topic`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la politique d'accès aux rubriques Amazon SNS autorise l'accès public. Ce contrôle échoue si la politique d'accès aux rubriques du SNS autorise l'accès public.
Vous utilisez une politique d'accès Amazon SNS avec une rubrique particulière afin de limiter les personnes autorisées à travailler sur cette rubrique (par exemple, qui peut publier des messages ou s'y abonner). Les politiques SNS peuvent accorder l'accès à d'autres Comptes AWS utilisateurs ou à des utilisateurs appartenant aux vôtres. Compte AWS L'ajout d'un caractère générique (\$1) dans le `Principal` champ de la politique thématique et l'absence de conditions limitant la politique thématique peuvent entraîner une exfiltration de données, un déni de service ou une injection indésirable de messages dans votre service par un attaquant.
**Note**
Ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique d'accès Amazon SNS pour une rubrique doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
### Correction
Pour mettre à jour les politiques d'accès relatives à une rubrique SNS, consultez la section [Présentation de la gestion des accès dans Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) SNS dans le manuel *Amazon Simple Notification Service* Developer Guide.
# Contrôles Security Hub CSPM pour Amazon SQS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Queue Service (Amazon SQS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::SQS::Queue`
**AWS Config règle :** `sqs-queue-encrypted` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une file d'attente Amazon SQS est chiffrée au repos. Le contrôle échoue si la file d'attente n'est pas chiffrée avec une clé gérée par SQS (SSE-SQS) ou une clé () AWS Key Management Service (SSE-KMS AWS KMS).
Le chiffrement des données au repos réduit le risque qu'un utilisateur non autorisé accède aux données stockées sur disque. Le chiffrement côté serveur (SSE) protège le contenu des messages dans les files d'attente SQS à l'aide de clés de chiffrement (SSE-SQS) ou de clés (SSE-KMS) gérées par SQS. AWS KMS
### Correction
Pour configurer SSE pour une file d'attente SQS, consultez la [section Configuration du chiffrement côté serveur (SSE) pour une file d'attente (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) dans le manuel *Amazon Simple Queue Service* Developer Guide.
## [SQS.2] Les files d'attente SQS doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SQS::Queue`
**AWS Config règle :** `tagged-sqs-queue` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une file d'attente Amazon SQS possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la file d'attente ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la file d'attente n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une file d'attente existante à l'aide de la console Amazon SQS, consultez la [section Configuration des balises de répartition des coûts pour une file d'attente Amazon SQS (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) dans le guide du développeur *Amazon Simple Queue Service*.
## [SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::SQS::Queue`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si une politique d'accès Amazon SQS autorise l'accès public à une file d'attente SQS. Le contrôle échoue si une politique d'accès SQS autorise l'accès public à la file d'attente.
Une politique d'accès Amazon SQS peut autoriser l'accès public à une file d'attente SQS, ce qui peut permettre à un utilisateur anonyme ou à toute identité AWS IAM authentifiée d'accéder à la file d'attente. Les politiques d'accès SQS fournissent généralement cet accès en spécifiant le caractère générique (`*`) dans l'`Principal`élément de la politique, sans utiliser les conditions appropriées pour restreindre l'accès à la file d'attente, ou les deux. Si une politique d'accès SQS autorise l'accès public, des tiers peuvent être en mesure d'effectuer des tâches telles que recevoir des messages de la file d'attente, envoyer des messages à la file d'attente ou modifier la politique d'accès de la file d'attente. Cela peut entraîner des événements tels que l'exfiltration de données, un déni de service ou l'injection de messages dans la file d'attente par un acteur malveillant.
**Note**
Ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique d'accès Amazon SQS pour une file d'attente doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
### Correction
Pour plus d'informations sur la configuration de la politique d'accès SQS pour une file d'attente SQS, consultez la section [Utilisation de politiques personnalisées avec le langage de politique d'accès Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) dans le guide du développeur *Amazon Simple Queue Service*.
# Contrôles Security Hub CSPM pour Step Functions
Ces AWS Security Hub CSPM contrôles évaluent le AWS Step Functions service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::StepFunctions::StateMachine`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logLevel` | Niveau de journalisation minimal | Enum | `ALL, ERROR, FATAL` | Aucune valeur par défaut |
Cela permet de vérifier si la journalisation est activée sur une machine à AWS Step Functions états. Le contrôle échoue si la journalisation n'est pas activée sur une machine à états. Si vous fournissez une valeur personnalisée pour le `logLevel` paramètre, le contrôle est transmis uniquement si le niveau de journalisation spécifié est activé sur la machine à états.
La surveillance vous aide à maintenir la fiabilité, la disponibilité et les performances de Step Functions. Vous devez collecter autant de données de surveillance Services AWS que celles que vous utilisez afin de pouvoir corriger plus facilement les défaillances multipoints. Une configuration de journalisation définie pour vos machines d'état Step Functions vous permet de suivre l'historique d'exécution et les résultats dans Amazon CloudWatch Logs. Vous pouvez éventuellement suivre uniquement les erreurs ou les événements fatals.
### Correction
Pour activer la journalisation pour une machine à états Step Functions, voir [Configurer la journalisation](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) dans le *Guide du AWS Step Functions développeur*.
## [StepFunctions.2] Les activités de Step Functions doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::StepFunctions::Activity`
**AWS Config règle :** `tagged-stepfunctions-activity` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Step Functions activité possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'activité ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'activité n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une activité Step Functions, voir [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) dans le *manuel du AWS Step Functions développeur*.
# Contrôles Security Hub CSPM pour Systems Manager
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS Systems Manager (SSM). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager
**Exigences associées :** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3
**Catégorie :** Identifier - Inventaire
**Gravité :** Moyenne
**Ressource évaluée :** `AWS::EC2::Instance`
**Ressources AWS Config d'enregistrement requises :**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances EC2 arrêtées et en cours d'exécution de votre compte sont gérées par AWS Systems Manager. Systems Manager est un Service AWS outil que vous pouvez utiliser pour visualiser et contrôler votre AWS infrastructure.
Pour vous aider à maintenir la sécurité et la conformité, Systems Manager analyse vos instances gérées arrêtées et en cours d'exécution. Une instance gérée est une machine configurée pour être utilisée avec Systems Manager. Systems Manager signale ensuite ou prend des mesures correctives en cas de violation des politiques détectées. Systems Manager vous permet également de configurer et de gérer vos instances gérées. Pour en savoir plus, consultez le [AWS Systems Manager guide de l'utilisateur](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).
**Note**
Ce contrôle génère des `FAILED` résultats pour les instances EC2 qui sont des instances de AWS Elastic Disaster Recovery Replication Server gérées par AWS. Une instance de serveur de réplication est une instance EC2 lancée automatiquement par AWS Elastic Disaster Recovery pour prendre en charge la réplication continue des données à partir des serveurs sources. AWS supprime intentionnellement l'agent Systems Manager (SSM) de ces instances afin de maintenir l'isolation et d'empêcher d'éventuels chemins d'accès involontaires.
### Correction
Pour plus d'informations sur la gestion des instances EC2 avec AWS Systems Manager, consultez la section Gestion des [hôtes Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) dans *AWS Systems Manager le guide de l'*utilisateur. Dans la section **Options de configuration** de la AWS Systems Manager console, vous pouvez conserver les paramètres par défaut ou les modifier selon les besoins de votre configuration préférée.
## [SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif
**Exigences connexes :** NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (5), NIST.800-171.R2 3.7.1, PCI DSS v3.3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::SSM::PatchCompliance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'état de conformité du correctif de Systems Manager est `COMPLIANT` ou `NON_COMPLIANT` après l'installation du correctif sur l'instance. Le contrôle échoue si le statut de conformité est`NON_COMPLIANT`. Le contrôle vérifie uniquement les instances gérées par Systems Manager Patch Manager.
L'application de correctifs à vos instances EC2 selon les besoins de votre organisation réduit la surface d'attaque de votre Comptes AWS
### Correction
Systems Manager recommande d'utiliser des [politiques de correctifs](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) pour configurer l'application de correctifs pour vos instances gérées. Vous pouvez également utiliser [les documents Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), comme décrit dans la procédure suivante, pour patcher une instance.
**Pour corriger les correctifs non conformes**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pour **la gestion des nœuds**, choisissez **Exécuter la commande**, puis sélectionnez **Exécuter la commande**.
1. Choisissez l'option pour **AWS- RunPatchBaseline**.
1. Passez l'**Operation (Opération)** à **Install (Installer)**.
1. Choisissez **Choisir les instances manuellement**, puis choisissez les instances non conformes.
1. Cliquez sur **Exécuter**.
1. Une fois la commande terminée, pour surveiller le nouveau statut de conformité de vos instances corrigées, choisissez **Compliance** dans le volet de navigation.
## [SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8 (1), NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::SSM::AssociationCompliance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le statut de conformité de l' AWS Systems Manager association est `COMPLIANT` ou `NON_COMPLIANT` après l'exécution de l'association sur une instance. Le contrôle échoue si le statut de conformité de l'association est`NON_COMPLIANT`.
Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances ou que certains ports doivent être fermés.
Une fois que vous avez créé une ou plusieurs associations de responsables d'État, les informations sur le statut de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse à des AWS CLI commandes ou à des actions d'API Systems Manager correspondantes. Pour les associations, Configuration Compliance indique l'état de conformité (`Compliant`ou`Non-compliant`). Il indique également le niveau de gravité attribué à l'association, tel que `Critical` ou`Medium`.
Pour en savoir plus sur la conformité des associations State Manager, voir [À propos de la conformité des associations State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) dans le *Guide de AWS Systems Manager l'utilisateur*.
### Correction
L'échec d'une association peut être lié à différents facteurs, notamment aux cibles et aux noms de documents de Systems Manager. Pour résoudre ce problème, vous devez d'abord identifier et étudier l'association en consultant l'historique des associations. Pour obtenir des instructions sur l'affichage de l'historique des associations, reportez-vous à la section [Affichage de l'historique des associations](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) dans le *Guide de AWS Systems Manager l'utilisateur*.
Après avoir étudié, vous pouvez modifier l'association pour corriger le problème identifié. Vous pouvez modifier une association pour spécifier un nouveau nom, un niveau de gravité ou des cibles. Après avoir modifié une association, il AWS Systems Manager crée une nouvelle version. Pour obtenir des instructions sur la modification d'une association, voir [Modification et création d'une nouvelle version d'une association](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) dans le *Guide de AWS Systems Manager l'utilisateur*.
## [SSM.4] Les documents du SSM ne doivent pas être publics
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::SSM::Document`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si AWS Systems Manager les documents détenus par un compte sont publics. Le contrôle échoue si les documents de Systems Manager dont `Self` le propriétaire est le propriétaire sont publics.
Les documents publics de Systems Manager peuvent autoriser un accès involontaire à vos documents. Un document public de Systems Manager peut exposer des informations précieuses sur votre compte, vos ressources et vos processus internes.
À moins que votre cas d'utilisation ne nécessite un partage public, nous vous recommandons de bloquer le partage public pour les documents Systems Manager dont `Self` le propriétaire est le propriétaire.
### Correction
Pour plus d'informations sur la configuration du partage pour les documents de Systems Manager, voir [Partager un document SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) dans le *Guide de l'AWS Systems Manager utilisateur*.
## [SSM.5] Les documents SSM doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SSM::Document`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « v4 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Systems Manager document possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le document ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le document ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe. Le contrôle n'évalue pas les documents Systems Manager détenus par Amazon.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à un AWS Systems Manager document, vous pouvez utiliser le [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)fonctionnement de l' AWS Systems Manager API ou, si vous utilisez le AWS CLI, exécuter la [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)commande. Vous pouvez également utiliser la console AWS Systems Manager .
## [SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la CloudWatch journalisation Amazon est activée pour l'automatisation AWS Systems Manager (SSM). Le contrôle échoue si la CloudWatch journalisation n'est pas activée pour SSM Automation.
SSM Automation est un AWS Systems Manager outil qui vous aide à créer des solutions automatisées pour déployer, configurer et gérer les AWS ressources à grande échelle à l'aide de runbooks prédéfinis ou personnalisés. Pour répondre aux exigences opérationnelles ou de sécurité de votre organisation, vous devrez peut-être fournir un enregistrement des scripts qu'elle exécute. Vous pouvez configurer SSM Automation pour envoyer le résultat des `aws:executeScript` actions de vos runbooks vers un groupe de CloudWatch journaux Amazon Logs que vous spécifiez. Avec CloudWatch Logs, vous pouvez surveiller, stocker et accéder à des fichiers journaux provenant de différents types de fichiers Services AWS.
### Correction
Pour plus d'informations sur l'activation de la CloudWatch journalisation pour SSM Automation, voir le [résultat de l'action Logging Automation with CloudWatch Logs](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) dans le *guide de AWS Systems Manager l'utilisateur*.
## [SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le paramètre de blocage du partage public est activé pour les AWS Systems Manager documents. Le contrôle échoue si le paramètre de partage public par blocs est désactivé pour les documents de Systems Manager.
Le paramètre de blocage du partage public pour les documents AWS Systems Manager (SSM) est un paramètre au niveau du compte. L'activation de ce paramètre peut empêcher tout accès indésirable à vos documents SSM. Si vous activez ce paramètre, votre modification n'affectera aucun document SSM que vous partagez actuellement avec le public. À moins que votre cas d'utilisation ne vous oblige à partager des documents SSM avec le public, nous vous recommandons d'activer le paramètre de blocage du partage public. Le réglage peut varier d'une personne à l'autre Région AWS.
### Correction
Pour plus d'informations sur l'activation du paramètre de blocage du partage public pour les documents AWS Systems Manager (SSM), voir [Bloquer le partage public des documents SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) dans le guide de l'*AWS Systems Manager utilisateur*.
# Contrôles Security Hub CSPM pour AWS Transfer Family
Ces AWS Security Hub CSPM contrôles évaluent le AWS Transfer Family service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Workflow`
**AWS Config règle :** `tagged-transfer-workflow` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Transfer Family flux de travail comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le flux de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux de travail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un flux de travail Transfer Family (console)**
1. Ouvrez la AWS Transfer Family console.
1. Dans le panneau de navigation, sous ETL, sélectionnez **Workflows (Flux de travail)**. Sélectionnez ensuite le flux de travail que vous souhaitez baliser.
1. Choisissez **Gérer les balises**, puis ajoutez les balises.
## [Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux
**Exigences connexes :** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Transfer::Server`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS Transfer Family serveur utilise un protocole autre que le protocole FTP pour la connexion des terminaux. Le contrôle échoue si le serveur utilise le protocole FTP pour qu'un client se connecte au point de terminaison du serveur.
Le protocole FTP (File Transfer Protocol) établit la connexion du terminal via des canaux non cryptés, ce qui rend les données envoyées via ces canaux vulnérables à l'interception. L'utilisation des protocoles SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure) ou AS2 (Déclaration d'applicabilité 2) offre un niveau de sécurité supplémentaire en chiffrant vos données en transit et peut être utilisée pour empêcher les attaquants potentiels de recourir à des attaques similaires pour person-in-the-middle espionner ou manipuler le trafic réseau.
### Correction
Pour modifier le protocole d'un serveur Transfer Family, voir [Modifier les protocoles de transfert de fichiers](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) dans le *guide de AWS Transfer Family l'utilisateur*.
## [Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Transfer::Connector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la CloudWatch journalisation Amazon est activée pour un AWS Transfer Family connecteur. Le contrôle échoue si la CloudWatch journalisation n'est pas activée pour le connecteur.
Amazon CloudWatch est un service de surveillance et d'observabilité qui fournit une visibilité sur vos AWS ressources, y compris les AWS Transfer Family ressources. Pour Transfer Family, CloudWatch fournit un audit et une journalisation consolidés pour la progression et les résultats du flux de travail. Cela inclut plusieurs métriques définies par Transfer Family pour les flux de travail. Vous pouvez configurer Transfer Family pour qu'il enregistre automatiquement les événements du connecteur CloudWatch. Pour ce faire, vous devez spécifier un rôle de journalisation pour le connecteur. Pour le rôle de journalisation, vous créez un rôle IAM et une politique IAM basée sur les ressources qui définit les autorisations associées au rôle.
### Correction
Pour plus d'informations sur l'activation de la CloudWatch journalisation pour un connecteur Transfer Family, consultez [Amazon CloudWatch Logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) dans le *guide de AWS Transfer Family l'utilisateur*.
## [Transfer.4] Les accords Transfer Family doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Agreement`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family accord possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si l'accord ne contient aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'accord ne contient aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family accord, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
## [Transfer.5] Les certificats Transfer Family doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Certificate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family certificat possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family certificat, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
## [Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Connector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family connecteur possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le connecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le connecteur ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family connecteur, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
## [Transfer.7] Les profils Transfer Family doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Profile`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family profil possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le profil ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe. Le contrôle évalue les profils locaux et les profils des partenaires.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family profil, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
# Security Hub CSPM contrôle pour AWS WAF
Ces AWS Security Hub CSPM contrôles évaluent le AWS WAF service et les ressources. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour une ACL Web AWS WAF globale. Ce contrôle échoue si la journalisation n'est pas activée pour l'ACL Web.
La journalisation joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances à l' AWS WAF échelle mondiale. Il s'agit d'une exigence commerciale et de conformité dans de nombreuses organisations, qui vous permet de résoudre les problèmes liés au comportement des applications. Il fournit également des informations détaillées sur le trafic analysé par l'ACL Web qui y est attachée AWS WAF.
### Correction
Pour activer la journalisation pour une ACL AWS WAF Web, consultez la section [Enregistrement des informations de trafic d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) dans le *Guide du AWS WAF développeur*.
## [WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition
**Exigences connexes :** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFRegional::Rule`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une règle AWS WAF régionale comporte au moins une condition. Le contrôle échoue si aucune condition n'est présente dans une règle.
Une règle régionale WAF peut contenir plusieurs conditions. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle régionale WAF sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.
### Correction
Pour ajouter une condition à une règle vide, consultez la section [Ajouter et supprimer des conditions dans une règle](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) dans le *Guide du AWS WAF développeur*.
## [WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle
**Exigences connexes :** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFRegional::RuleGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de règles AWS WAF régional possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.
Un groupe de règles régional WAF peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles régional WAF sans règles, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.
### Correction
Pour ajouter des règles et des conditions de règles à un groupe de règles vide, consultez les [sections Ajouter et supprimer des règles dans un groupe de règles AWS WAF classique](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) et [Ajouter et supprimer des conditions dans une règle](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) dans le *Guide du AWS WAF développeur*.
## [WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFRegional::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une ACL AWS WAF Classic Regional Web contient des règles WAF ou des groupes de règles WAF. Ce contrôle échoue si une ACL Web ne contient aucune règle WAF ou aucun groupe de règles.
Une ACL Web régionale WAF peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut passer sans être détecté ou traité par WAF en fonction de l'action par défaut.
### Correction
Pour ajouter des règles ou des groupes de règles à une ACL Web régionale AWS WAF classique vide, consultez la section [Modification d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) dans le *guide du AWS WAF développeur*.
## [WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::Rule`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une règle AWS WAF globale contient des conditions. Le contrôle échoue si aucune condition n'est présente dans une règle.
Une règle globale WAF peut contenir plusieurs conditions. Les conditions d'une règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle globale WAF sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.
### Correction
Pour obtenir des instructions sur la création d'une règle et l'ajout de conditions, consultez [la section Création d'une règle et ajout de conditions](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) dans le *guide du AWS WAF développeur*.
## [WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::RuleGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de règles AWS WAF global possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.
Un groupe de règles global WAF peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles global WAF sans règles, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.
### Correction
Pour obtenir des instructions sur l'ajout d'une règle à un groupe de règles, consultez la section [Création d'un groupe de règles AWS WAF classique](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) dans le *guide du AWS WAF développeur*.
## [WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles
**Exigences connexes :** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une ACL Web AWS WAF globale contient au moins une règle WAF ou un groupe de règles WAF. Le contrôle échoue si une ACL Web ne contient aucune règle WAF ou aucun groupe de règles.
Une ACL Web globale WAF peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut passer sans être détecté ou traité par WAF en fonction de l'action par défaut.
### Correction
Pour ajouter des règles ou des groupes de règles à une ACL Web AWS WAF globale vide, consultez la section [Modification d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) dans le *Guide du AWS WAF développeur*. Pour **Filtrer**, choisissez **Global (CloudFront)**.
## [WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFv2::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une liste de contrôle d'accès Web (ACL Web) AWS WAF V2 contient au moins une règle ou un groupe de règles. Le contrôle échoue si une ACL Web ne contient aucune règle ou groupe de règles.
Une ACL Web vous permet de contrôler avec précision toutes les requêtes Web HTTP (S) auxquelles répond votre ressource protégée. Une ACL Web doit contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut être transmis sans être détecté ou traité AWS WAF en fonction de l'action par défaut.
### Correction
Pour ajouter des règles ou des groupes de règles à une ACL WAFV2 Web vide, consultez la section [Modification d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) dans le *manuel du AWS WAF développeur*.
## [WAF.11] La journalisation des ACL AWS WAF Web doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::WAFv2::WebACL`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour une liste de contrôle d'accès Web (ACL Web) AWS WAF V2. Ce contrôle échoue si la journalisation est désactivée pour l'ACL Web.
**Note**
Ce contrôle ne vérifie pas si la journalisation ACL AWS WAF Web est activée pour un compte via Amazon Security Lake.
La journalisation garantit la fiabilité, la disponibilité et les performances de AWS WAF. En outre, la journalisation est une exigence commerciale et de conformité dans de nombreuses organisations. En enregistrant le trafic analysé par votre ACL Web, vous pouvez résoudre les problèmes de comportement des applications.
### Correction
Pour activer la journalisation pour une ACL AWS WAF Web, consultez [la section Gestion de la journalisation pour une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) dans le *Guide du AWS WAF développeur*.
## Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFv2::RuleGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudWatch métriques Amazon sont activées pour une AWS WAF règle ou un groupe de règles. Le contrôle échoue si les CloudWatch métriques ne sont pas activées pour la règle ou le groupe de règles.
La configuration de CloudWatch métriques sur AWS WAF les règles et les groupes de règles fournit une visibilité sur le flux de trafic. Vous pouvez voir quelles règles ACL sont déclenchées et quelles demandes sont acceptées et bloquées. Cette visibilité peut vous aider à identifier les activités malveillantes sur vos ressources associées.
### Correction
Pour activer CloudWatch les métriques sur un groupe de AWS WAF règles, appelez l'[ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Pour activer CloudWatch les métriques sur une AWS WAF règle, appelez l'API [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html). Réglez le `CloudWatchMetricsEnabled` champ sur`true`. Lorsque vous utilisez la AWS WAF console pour créer des règles ou des groupes de règles, CloudWatch les métriques sont automatiquement activées.
# Contrôles Security Hub CSPM pour WorkSpaces
Ces AWS Security Hub CSPM contrôles évaluent le WorkSpaces service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::WorkSpaces::Workspace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un volume utilisateur d'un Amazon WorkSpaces WorkSpace est chiffré au repos. Le contrôle échoue si le volume WorkSpace utilisateur n'est pas chiffré au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour chiffrer un volume WorkSpaces utilisateur, consultez la section [Encrypt a WorkSpace dans le guide d' WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)*administration Amazon*.
## [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::WorkSpaces::Workspace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un volume racine d'un Amazon WorkSpaces WorkSpace est chiffré au repos. Le contrôle échoue si le volume WorkSpace racine n'est pas chiffré au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour chiffrer un volume WorkSpaces racine, consultez la section [Encrypt a WorkSpace dans le guide d' WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)*administration Amazon*.