Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Step Functions

Ces AWS Security Hub les contrôles évaluent le AWS Step Functions service et ressources.

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::StepFunctions::StateMachine

AWS Config règle : step-functions-state-machine-logging-enabled

Type de calendrier : changement déclenché

Paramètres :

Cela permet de vérifier si un AWS Step Functions la journalisation est activée sur la machine à états. Le contrôle échoue si la journalisation n'est pas activée sur une machine à états. Si vous fournissez une valeur personnalisée pour le logLevel paramètre, le contrôle est transmis uniquement si le niveau de journalisation spécifié est activé sur la machine à états.

La surveillance vous aide à maintenir la fiabilité, la disponibilité et les performances de Step Functions. Vous devez collecter autant de données de surveillance auprès du Services AWS que vous utilisez pour corriger plus facilement les défaillances multipoints. Une configuration de journalisation définie pour vos machines d'état Step Functions vous permet de suivre l'historique d'exécution et les résultats dans Amazon CloudWatch Logs. Vous pouvez éventuellement suivre uniquement les erreurs ou les événements fatals.

Correction

Pour activer la journalisation pour une machine d'état Step Functions, voir Configurer la journalisation dans le AWS Step Functions Guide du développeur.

[StepFunctions.2] Les activités de Step Functions doivent être étiquetées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::StepFunctions::Activity

AWS Config règle : tagged-stepfunctions-activity (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un AWS Step Functions l'activité possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'activité ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'activité n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.

Correction

Pour ajouter des balises à une activité Step Functions, consultez la section Marquage dans Step Functions dans le AWS Step Functions Guide du développeur.