Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Amazon ECS
Kontrol Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Container Service (AmazonECS).
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::TaskDefinition
AWS Config aturan: ecs-task-definition-user-for-host-mode-check
Jenis jadwal: Perubahan dipicu
Parameter:
-
SkipInactiveTaskDefinitions:true(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah definisi ECS tugas Amazon aktif dengan mode jaringan host memiliki privileged atau definisi user kontainer. Kontrol gagal untuk definisi tugas yang memiliki mode jaringan host dan definisi wadahprivileged=false, kosong danuser=root, atau kosong.
Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi ECS tugas Amazon.
Tujuan dari kontrol ini adalah untuk memastikan bahwa akses didefinisikan dengan sengaja ketika Anda menjalankan tugas yang menggunakan mode jaringan host. Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena Anda telah memilih konfigurasi itu. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host, dan Anda tidak memilih hak istimewa yang ditinggikan.
Remediasi
Untuk informasi tentang cara memperbarui definisi tugas, lihat Memperbarui definisi tugas di Panduan Pengembang Layanan Amazon Elastic Container.
Saat Anda memperbarui definisi tugas, itu tidak memperbarui tugas yang sedang berjalan yang diluncurkan dari definisi tugas sebelumnya. Untuk memperbarui tugas yang sedang berjalan, Anda harus menerapkan ulang tugas dengan definisi tugas baru.
[ECS.2] ECS layanan seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis
Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::Service
AWS Config aturan: ecs-service-assign-public-ip-disabled (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ECS layanan Amazon dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol ini gagal jika AssignPublicIP adaENABLED. Kontrol ini lolos jika AssignPublicIP adaDISABLED.
Alamat IP publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan ECS instans Amazon Anda dengan alamat IP publik, maka ECS instans Amazon Anda dapat dijangkau dari internet. ECSLayanan Amazon tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.
Remediasi
Pertama, Anda harus membuat definisi tugas untuk cluster Anda yang menggunakan mode awsvpc jaringan dan menentukan FARGATEuntukrequiresCompatibilities. Kemudian, untuk konfigurasi Compute, pilih Launch type dan FARGATE. Terakhir, untuk bidang Networking, matikan IP Publik untuk menonaktifkan penugasan IP publik otomatis untuk layanan Anda.
[ECS.3] definisi ECS tugas tidak boleh membagikan namespace proses host
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategori: Identifikasi > Konfigurasi sumber daya
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::TaskDefinition
AWS Config aturan: ecs-task-definition-pid-mode-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah definisi ECS tugas Amazon dikonfigurasi untuk berbagi namespace proses host dengan kontainernya. Kontrol gagal jika definisi tugas membagikan namespace proses host dengan wadah yang berjalan di atasnya. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi ECS tugas Amazon.
Namespace ID proses (PID) menyediakan pemisahan antar proses. Ini mencegah proses sistem agar tidak terlihat, dan memungkinkan PIDs untuk digunakan kembali, termasuk PID 1. Jika PID namespace host dibagikan dengan kontainer, itu akan memungkinkan kontainer untuk melihat semua proses pada sistem host. Ini mengurangi manfaat isolasi tingkat proses antara host dan wadah. Keadaan ini dapat menyebabkan akses tidak sah ke proses pada host itu sendiri, termasuk kemampuan untuk memanipulasi dan menghentikannya. Pelanggan tidak boleh membagikan namespace proses host dengan wadah yang berjalan di atasnya.
Remediasi
Untuk mengonfigurasi definisi tugas, lihat Parameter definisi tugas di Panduan Pengembang Layanan Amazon Elastic Container. pidMode
[ECS.4] ECS kontainer harus berjalan sebagai non-hak istimewa
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses aman > Pembatasan akses pengguna root
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::TaskDefinition
AWS Config aturan: ecs-containers-nonprivileged
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah privileged parameter dalam definisi penampung Definisi ECS Tugas Amazon disetel ketrue. Kontrol gagal jika parameter ini sama dengantrue. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi ECS tugas Amazon.
Kami menyarankan Anda menghapus hak istimewa yang ditinggikan dari definisi ECS tugas Anda. Ketika parameter privilege adalahtrue, penampung diberikan hak istimewa yang ditinggikan pada instance wadah host (mirip dengan pengguna root).
Remediasi
Untuk mengonfigurasi privileged parameter pada definisi tugas, lihat Parameter definisi kontainer lanjutan di Panduan Pengembang Layanan Kontainer Elastis Amazon.
[ECS.5] ECS wadah harus dibatasi pada akses hanya-baca ke sistem file root
Persyaratan terkait: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::TaskDefinition
AWS Config aturan: ecs-containers-readonly-access
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ECS kontainer Amazon terbatas pada akses hanya-baca ke sistem file root yang dipasang. Kontrol gagal jika readonlyRootFilesystem parameter disetel ke false atau jika parameter tidak ada dalam definisi wadah dalam definisi tugas. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi ECS tugas Amazon.
Mengaktifkan opsi ini mengurangi vektor serangan keamanan karena sistem file instance kontainer tidak dapat dirusak atau ditulis kecuali jika memiliki izin baca-tulis eksplisit pada folder dan direktori sistem file. Kontrol ini juga menganut prinsip hak istimewa paling sedikit.
Remediasi
Membatasi definisi kontainer untuk akses hanya-baca ke sistem file root
Buka konsol ECS klasik Amazon di https://console.aws.amazon.com/ecs/
. -
Di panel navigasi kiri, pilih Definisi tugas.
-
Pilih definisi tugas yang memiliki definisi kontainer yang perlu diperbarui. Untuk masing-masing, selesaikan langkah-langkah berikut:
-
Dari drop-down, pilih Buat revisi baru dengan JSON.
-
Tambahkan
readonlyRootFilesystemparameter, dan atur ketruedalam definisi wadah dalam definisi tugas. -
Pilih Buat.
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategori: Lindungi > Pengembangan aman > Kredensyal tidak dikodekan dengan keras
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::TaskDefinition
AWS Config aturan: ecs-no-environment-secrets
Jenis jadwal: Perubahan dipicu
Parameter:
secretKeys =
AWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY,ECS_ENGINE_AUTH_DATA(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah nilai kunci dari setiap variabel dalam environment parameter definisi kontainer termasukAWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY, atauECS_ENGINE_AUTH_DATA. Kontrol ini gagal jika variabel lingkungan tunggal dalam definisi kontainer samaAWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY, atauECS_ENGINE_AUTH_DATA. Kontrol ini tidak mencakup variabel lingkungan yang diteruskan dari lokasi lain seperti Amazon S3. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi ECS tugas Amazon.
AWS Systems Manager Parameter Store dapat membantu Anda meningkatkan postur keamanan organisasi Anda. Sebaiknya gunakan Parameter Store untuk menyimpan rahasia dan kredensional alih-alih langsung meneruskannya ke instance container Anda atau hard coding ke dalam kode Anda.
Remediasi
Untuk membuat parameter menggunakanSSM, lihat Membuat parameter Systems Manager di Panduan AWS Systems Manager Pengguna. Untuk informasi selengkapnya tentang membuat definisi tugas yang menentukan rahasia, lihat Menentukan data sensitif menggunakan Secrets Manager di Panduan Pengembang Layanan Amazon Elastic Container.
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::TaskDefinition
AWS Config aturan: ecs-task-definition-log -konfigurasi
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah definisi ECS tugas Amazon aktif terbaru memiliki konfigurasi logging yang ditentukan. Kontrol gagal jika definisi tugas tidak memiliki logConfiguration properti yang ditentukan atau jika nilai untuk logDriver adalah nol dalam setidaknya satu definisi kontainer.
Logging membantu Anda menjaga keandalan, ketersediaan, dan kinerja AmazonECS. Mengumpulkan data dari definisi tugas memberikan visibilitas, yang dapat membantu Anda men-debug proses dan menemukan akar penyebab kesalahan. Jika Anda menggunakan solusi logging yang tidak harus didefinisikan dalam definisi ECS tugas (seperti solusi logging pihak ketiga), Anda dapat menonaktifkan kontrol ini setelah memastikan bahwa log Anda ditangkap dan dikirim dengan benar.
Remediasi
Untuk menentukan konfigurasi log untuk definisi ECS tugas Amazon Anda, lihat Menentukan konfigurasi log dalam definisi tugas Anda di Panduan Pengembang Layanan Amazon Elastic Container.
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
Persyaratan terkait: NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ECS::Service
AWS Config aturan: ecs-fargate-latest-platform-version
Jenis jadwal: Perubahan dipicu
Parameter:
latestLinuxVersion: 1.4.0(tidak dapat disesuaikan)latestWindowsVersion: 1.0.0(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah layanan Amazon ECS Fargate menjalankan versi platform Fargate terbaru. Kontrol ini gagal jika versi platform bukan yang terbaru.
AWS Fargate Versi platform mengacu pada lingkungan runtime tertentu untuk infrastruktur tugas Fargate, yang merupakan kombinasi dari versi runtime kernel dan container. Versi platform baru dirilis saat lingkungan runtime berkembang. Misalnya, versi baru dapat dirilis untuk pembaruan kernel atau sistem operasi, fitur baru, perbaikan bug, atau pembaruan keamanan. Pembaruan dan tambalan keamanan diterapkan secara otomatis untuk tugas Fargate Anda. Jika ditemukan masalah keamanan yang memengaruhi versi platform, AWS tambal versi platform.
Remediasi
Untuk memperbarui layanan yang ada, termasuk versi platformnya, lihat Memperbarui layanan di Panduan Pengembang Layanan Amazon Elastic Container.
[ECS.12] ECS cluster harus menggunakan Wawasan Kontainer
Persyaratan terkait: NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ECS::Cluster
AWS Config aturan: ecs-container-insights-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ECS cluster menggunakan Wawasan Kontainer. Kontrol ini gagal jika Wawasan Kontainer tidak disiapkan untuk klaster.
Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja ECS klaster Amazon. Gunakan CloudWatch Wawasan Kontainer untuk mengumpulkan, menggabungkan, dan meringkas metrik dan log dari aplikasi dan layanan mikro dalam kontainer Anda. CloudWatch secara otomatis mengumpulkan metrik untuk banyak sumber daya, seperti memoriCPU, disk, dan jaringan. Wawasan Kontainer juga akan menyediakan informasi diagnostik, seperti kegagalan mengulang kembali kontainer, untuk membantu Anda melakukan isolasi atas masalah dan mengatasi masalah itu dengan cepat. Anda juga dapat menyetel CloudWatch alarm pada metrik yang dikumpulkan Container Insights.
Remediasi
Untuk menggunakan Wawasan Penampung, lihat Memperbarui layanan di Panduan CloudWatch Pengguna Amazon.
[ECS.13] ECS layanan harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::ECS::Service
AWS Config aturan: tagged-ecs-service (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah ECS layanan Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika layanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke ECS layanan, lihat Menandai ECS sumber daya Amazon Anda di Panduan Pengembang Layanan Kontainer Elastis Amazon.
[ECS.14] ECS cluster harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::ECS::Cluster
AWS Config aturan: tagged-ecs-cluster (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah ECS klaster Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke ECS klaster, lihat Menandai ECS sumber daya Amazon Anda di Panduan Pengembang Layanan Kontainer Elastis Amazon.
[ECS.15] definisi ECS tugas harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::ECS::TaskDefinition
AWS Config aturan: tagged-ecs-taskdefinition (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah definisi ECS tugas Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika definisi tugas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika definisi tugas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke definisi ECS tugas, lihat Menandai ECS sumber daya Amazon Anda di Panduan Pengembang Layanan Kontainer Elastis Amazon.
[ECS.16] set ECS tugas tidak boleh secara otomatis menetapkan alamat IP publik
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::ECS::TaskSet
AWS Config aturan: ecs-taskset-assign-public-ip-disabled (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah set ECS tugas Amazon dikonfigurasi untuk menetapkan alamat IP publik secara otomatis. Kontrol gagal jika AssignPublicIP disetel keENABLED.
Alamat IP publik dapat dijangkau dari internet. Jika Anda mengonfigurasi set tugas Anda dengan alamat IP publik, sumber daya yang terkait dengan kumpulan tugas dapat dijangkau dari internet. ECSset tugas tidak boleh diakses oleh publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.
Remediasi
Untuk memperbarui set ECS tugas agar tidak menggunakan alamat IP publik, lihat Memperbarui definisi ECS tugas Amazon menggunakan konsol di Panduan Pengembang Layanan Amazon Elastic Container.
