Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Amazon SQS

Ces AWS Security Hub les contrôles évaluent le service et les ressources Amazon Simple Queue Service (AmazonSQS).

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::SQS::Queue

AWS Config règle : sqs-queue-encrypted (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une SQS file d'attente Amazon est chiffrée au repos. Le contrôle échoue si la file d'attente n'est pas chiffrée avec une clé SQS gérée (SSE-SQS) ou un AWS Key Management Service (AWS KMS) touche (SSE-KMS).

Le chiffrement des données au repos réduit le risque qu'un utilisateur non autorisé accède aux données stockées sur disque. Le chiffrement côté serveur (SSE) protège le contenu des messages dans les SQS files d'attente à l'aide de clés de chiffrement SQS gérées (-) ou SSE SQS AWS KMS clés (SSE-KMS).

Correction

SSEPour configurer une SQS file d'attente, consultez la section Configuration du chiffrement côté serveur (SSE) pour une file d'attente (console) dans le manuel Amazon Simple Queue Service Developer Guide.

[SQS.2] les SQS files d'attente doivent être étiquetées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::SQS::Queue

AWS Config règle : tagged-sqs-queue (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si une SQS file d'attente Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la file d'attente ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la file d'attente n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.

Correction

Pour ajouter des balises à une file d'attente existante à l'aide de la SQS console Amazon, consultez la section Configuration des balises de répartition des coûts pour une SQS file d'attente Amazon (console) dans le manuel Amazon Simple Queue Service Developer Guide.