Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon ECS
Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Container Service (Amazon ECS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna
**penting**
Security Hub CSPM menghentikan kontrol ini pada Maret 2026. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md). Anda dapat merujuk ke kontrol berikut untuk evaluasi konfigurasi istimewa, konfigurasi mode jaringan, dan konfigurasi pengguna:
[[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](#ecs-4)
[[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](#ecs-17)
[[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](#ecs-20)
[[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](#ecs-21)
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Kategori:** Lindungi > Manajemen akses yang aman
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `SkipInactiveTaskDefinitions`: `true` (tidak dapat disesuaikan)
Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif dengan mode jaringan host memiliki `privileged` atau definisi `user` kontainer. Kontrol gagal untuk definisi tugas yang memiliki mode jaringan host dan definisi wadah`privileged=false`, kosong dan`user=root`, atau kosong.
Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.
Tujuan dari kontrol ini adalah untuk memastikan bahwa akses didefinisikan dengan sengaja ketika Anda menjalankan tugas yang menggunakan mode jaringan host. Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena Anda telah memilih konfigurasi itu. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host, dan Anda tidak memilih hak istimewa yang ditinggikan.
### Remediasi
Untuk informasi tentang cara memperbarui definisi tugas, lihat [Memperbarui definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
Saat Anda memperbarui definisi tugas, itu tidak memperbarui tugas yang sedang berjalan yang diluncurkan dari definisi tugas sebelumnya. Untuk memperbarui tugas yang sedang berjalan, Anda harus menerapkan ulang tugas dengan definisi tugas baru.
## [ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::Service`
**AWS Config aturan:** `ecs-service-assign-public-ip-disabled` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah layanan Amazon ECS dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol ini gagal jika `AssignPublicIP` ada`ENABLED`. Kontrol ini lolos jika `AssignPublicIP` ada`DISABLED`.
Alamat IP publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Amazon ECS Anda dengan alamat IP publik, maka instans Amazon ECS Anda dapat dijangkau dari internet. Layanan Amazon ECS tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.
### Remediasi
Pertama, Anda harus membuat definisi tugas untuk cluster Anda yang menggunakan mode `awsvpc` jaringan dan menentukan **FARGATE** untuk. `requiresCompatibilities` Kemudian, untuk **konfigurasi Compute**, pilih **Launch type** dan **FARGATE**. Terakhir, untuk bidang **Jaringan**, matikan **IP Publik** untuk menonaktifkan penugasan IP publik otomatis untuk layanan Anda.
## [ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2
**Kategori:** Identifikasi > Konfigurasi sumber daya
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi tugas Amazon ECS dikonfigurasi untuk berbagi namespace proses host dengan kontainernya. Kontrol gagal jika definisi tugas membagikan namespace proses host dengan wadah yang berjalan di atasnya. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.
Namespace ID proses (PID) menyediakan pemisahan antar proses. Ini mencegah proses sistem agar tidak terlihat, dan memungkinkan PIDs untuk digunakan kembali, termasuk PID 1. Jika namespace PID host dibagikan dengan kontainer, itu akan memungkinkan kontainer untuk melihat semua proses pada sistem host. Ini mengurangi manfaat isolasi tingkat proses antara host dan wadah. Keadaan ini dapat menyebabkan akses tidak sah ke proses pada host itu sendiri, termasuk kemampuan untuk memanipulasi dan menghentikannya. Pelanggan tidak boleh membagikan namespace proses host dengan wadah yang berjalan di atasnya.
### Remediasi
Untuk mengonfigurasi definisi tugas, lihat [Parameter definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) di Panduan Pengembang Layanan Amazon Elastic Container. `pidMode`
## [ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah `privileged` parameter dalam definisi penampung Definisi Tugas Amazon ECS disetel ke`true`. Kontrol gagal jika parameter ini sama dengan`true`. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.
Kami menyarankan Anda menghapus hak istimewa yang ditinggikan dari definisi tugas ECS Anda. Ketika parameter privilege adalah`true`, wadah diberikan hak istimewa yang ditinggikan pada instance wadah host (mirip dengan pengguna root).
### Remediasi
Untuk mengonfigurasi `privileged` parameter pada definisi tugas, lihat [Parameter definisi kontainer lanjutan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) di Panduan Pengembang Layanan Kontainer Elastis Amazon.
## [ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Kategori:** Lindungi > Manajemen akses yang aman
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi tugas ECS mengonfigurasi kontainer agar dibatasi pada akses hanya-baca ke sistem file root yang dipasang. Kontrol gagal jika `readonlyRootFilesystem` parameter dalam definisi wadah definisi tugas ECS disetel ke`false`, atau parameter tidak ada dalam definisi wadah dalam definisi tugas. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.
Jika `readonlyRootFilesystem` parameter disetel ke `true` dalam definisi tugas Amazon ECS, wadah ECS diberikan akses hanya-baca ke sistem file root-nya. Ini mengurangi vektor serangan keamanan karena sistem file root instance container tidak dapat dirusak atau ditulis tanpa mount volume eksplisit yang memiliki izin baca-tulis untuk folder dan direktori sistem file. Mengaktifkan opsi ini juga mematuhi prinsip hak istimewa paling sedikit.
**catatan**
`readonlyRootFilesystem`Parameter tidak didukung untuk wadah Windows. Definisi tugas dengan `runtimePlatform` dikonfigurasi untuk menentukan keluarga `WINDOWS_SERVER` OS ditandai sebagai `NOT_APPLICABLE` dan tidak akan menghasilkan temuan untuk kontrol ini.
### Remediasi
Untuk memberikan akses read-only container Amazon ECS ke sistem file root, tambahkan `readonlyRootFilesystem` parameter ke definisi tugas untuk container, dan tetapkan nilai untuk parameter tersebut. `true` Untuk informasi tentang parameter definisi tugas dan cara menambahkannya ke definisi tugas, lihat definisi tugas [Amazon ECS dan [Memperbarui](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) definisi tugas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
## [ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2
**Kategori:** Lindungi > Pengembangan aman > Kredensyal tidak dikodekan dengan keras
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**`secretKeys`:`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (tidak dapat disesuaikan)
Kontrol ini memeriksa apakah nilai kunci dari setiap variabel dalam `environment` parameter definisi kontainer termasuk`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, atau`ECS_ENGINE_AUTH_DATA`. Kontrol ini gagal jika variabel lingkungan tunggal dalam definisi kontainer sama`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, atau`ECS_ENGINE_AUTH_DATA`. Kontrol ini tidak mencakup variabel lingkungan yang diteruskan dari lokasi lain seperti Amazon S3. Kontrol ini hanya mengevaluasi revisi aktif terbaru dari definisi tugas Amazon ECS.
AWS Systems Manager Parameter Store dapat membantu Anda meningkatkan postur keamanan organisasi Anda. Sebaiknya gunakan Parameter Store untuk menyimpan rahasia dan kredensyal alih-alih langsung meneruskannya ke instance kontainer Anda atau mengkodekannya dengan keras ke dalam kode Anda.
### Remediasi
Untuk membuat parameter menggunakan SSM, lihat [Membuat parameter Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) di *Panduan AWS Systems Manager Pengguna*. Untuk informasi selengkapnya tentang membuat definisi tugas yang menentukan rahasia, lihat Menentukan [data sensitif menggunakan Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) di Panduan *Pengembang Layanan Amazon Elastic Container*.
## [ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: ecs-task-definition-log** [-konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif terbaru memiliki konfigurasi logging yang ditentukan. Kontrol gagal jika definisi tugas tidak memiliki `logConfiguration` properti yang ditentukan atau jika nilai untuk `logDriver` adalah nol dalam setidaknya satu definisi kontainer.
Logging membantu Anda menjaga keandalan, ketersediaan, dan kinerja Amazon ECS. Mengumpulkan data dari definisi tugas memberikan visibilitas, yang dapat membantu Anda men-debug proses dan menemukan akar penyebab kesalahan. Jika Anda menggunakan solusi logging yang tidak harus didefinisikan dalam definisi tugas ECS (seperti solusi logging pihak ketiga), Anda dapat menonaktifkan kontrol ini setelah memastikan bahwa log Anda ditangkap dan dikirim dengan benar.
### Remediasi
Untuk menentukan konfigurasi log untuk definisi tugas Amazon ECS Anda, lihat [Menentukan konfigurasi log dalam definisi tugas Anda di Panduan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) *Pengembang Layanan Amazon Elastic Container*.
## [ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
**Persyaratan terkait:** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ECS::Service`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `latestLinuxVersion: 1.4.0`(tidak dapat disesuaikan)
+ `latestWindowsVersion: 1.0.0`(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah layanan Amazon ECS Fargate menjalankan versi platform Fargate terbaru. Kontrol ini gagal jika versi platform bukan yang terbaru.
AWS Fargate Versi platform mengacu pada lingkungan runtime tertentu untuk infrastruktur tugas Fargate, yang merupakan kombinasi dari versi runtime kernel dan container. Versi platform baru dirilis saat lingkungan runtime berkembang. Misalnya, versi baru dapat dirilis untuk pembaruan kernel atau sistem operasi, fitur baru, perbaikan bug, atau pembaruan keamanan. Pembaruan dan tambalan keamanan diterapkan secara otomatis untuk tugas Fargate Anda. Jika ditemukan masalah keamanan yang memengaruhi versi platform, AWS tambal versi platform.
### Remediasi
Untuk memperbarui layanan yang ada, termasuk versi platformnya, lihat [Memperbarui layanan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
## [ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer
**Persyaratan terkait:** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ECS::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah cluster ECS menggunakan Wawasan Kontainer. Kontrol ini gagal jika Wawasan Kontainer tidak disiapkan untuk klaster.
Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja klaster Amazon ECS. Gunakan CloudWatch Wawasan Kontainer untuk mengumpulkan, menggabungkan, dan meringkas metrik dan log dari aplikasi dan layanan mikro dalam kontainer Anda. CloudWatch Secara otomatis mengumpulkan metrik untuk banyak sumber daya, seperti CPU, memori, disk, dan jaringan. Wawasan Kontainer juga akan menyediakan informasi diagnostik, seperti kegagalan mengulang kembali kontainer, untuk membantu Anda melakukan isolasi atas masalah dan mengatasi masalah itu dengan cepat. Anda juga dapat menyetel CloudWatch alarm pada metrik yang dikumpulkan Container Insights.
### Remediasi
Untuk menggunakan Wawasan Penampung, lihat [Memperbarui layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) di *Panduan CloudWatch Pengguna Amazon*.
## [ECS.13] Layanan ECS harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::ECS::Service`
**AWS Config aturan:** `tagged-ecs-service` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah layanan Amazon ECS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika layanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke layanan ECS, lihat [Menandai resource Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) Anda di Panduan Pengembang *Layanan Kontainer Elastis Amazon*.
## [ECS.14] Cluster ECS harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::ECS::Cluster`
**AWS Config aturan:** `tagged-ecs-cluster` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah klaster Amazon ECS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke cluster ECS, lihat [Menandai resource Amazon ECS Anda di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Container*.
## [ECS.15] Definisi tugas ECS harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan:** `tagged-ecs-taskdefinition` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah definisi tugas Amazon ECS memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika definisi tugas tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika definisi tugas tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke definisi tugas ECS, lihat [Menandai resource Amazon ECS Anda di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Container*.
## [ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
**Persyaratan terkait:** PCI DSS v4.0.1/1.4.4
**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::ECS::TaskSet`
**AWS Config aturan:** `ecs-taskset-assign-public-ip-disabled` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah set tugas Amazon ECS dikonfigurasi untuk secara otomatis menetapkan alamat IP publik. Kontrol gagal jika `AssignPublicIP` disetel ke`ENABLED`.
Alamat IP publik dapat dijangkau dari internet. Jika Anda mengonfigurasi set tugas Anda dengan alamat IP publik, sumber daya yang terkait dengan kumpulan tugas dapat dijangkau dari internet. Kumpulan tugas ECS tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.
### Remediasi
Untuk memperbarui set tugas ECS agar tidak menggunakan alamat IP publik, lihat [Memperbarui definisi tugas Amazon ECS menggunakan konsol di Panduan Pengembang](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Layanan Amazon Elastic Container*.
## [ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS menggunakan mode `host` jaringan. Kontrol gagal jika revisi aktif terbaru dari definisi tugas ECS menggunakan mode `host` jaringan.
Saat menggunakan mode `host` jaringan, jaringan wadah Amazon ECS terikat langsung ke host yang mendasari yang menjalankan penampung. Akibatnya, mode ini memungkinkan kontainer untuk terhubung ke layanan jaringan loopback pribadi pada host dan untuk meniru host. Kelemahan signifikan lainnya adalah tidak ada cara untuk memetakan ulang port kontainer saat menggunakan mode `host` jaringan, dan Anda tidak dapat menjalankan lebih dari satu instance tugas di setiap host.
### Remediasi
Untuk informasi tentang mode jaringan dan opsi untuk tugas Amazon ECS yang dihosting di instans Amazon EC2, lihat [opsi jaringan tugas Amazon ECS untuk jenis peluncuran EC2 di Panduan Pengembang Layanan Kontainer](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) Elastis *Amazon*. Untuk informasi tentang membuat revisi baru definisi tugas dan menentukan mode jaringan yang berbeda, lihat [Memperbarui definisi tugas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dalam panduan tersebut.
Jika definisi tugas Amazon ECS dibuat oleh AWS Batch, lihat [Mode jaringan untuk AWS Batch pekerjaan untuk](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) mempelajari tentang mode jaringan dan penggunaan umum untuk jenis AWS Batch pekerjaan dan untuk memilih opsi yang aman.
## [ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS
**Kategori:** Lindungi > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS menggunakan enkripsi dalam transit untuk volume EFS. Kontrol gagal jika revisi aktif terbaru dari definisi tugas ECS memiliki enkripsi dalam transit dinonaktifkan untuk volume EFS.
Volume Amazon EFS menyediakan penyimpanan file bersama yang sederhana, dapat diskalakan, dan persisten untuk digunakan dengan tugas Amazon ECS Anda. Amazon EFS mendukung enkripsi data dalam perjalanan dengan Transport Layer Security (TLS). Saat enkripsi data dalam perjalanan dinyatakan sebagai opsi pemasangan untuk sistem file EFS Anda, Amazon EFS membuat koneksi TLS yang aman dengan sistem file EFS Anda saat memasang sistem file Anda.
### Remediasi
Untuk informasi tentang mengaktifkan enkripsi dalam perjalanan untuk Definisi Tugas Amazon ECS dengan volume EFS, lihat [Langkah 5: Membuat definisi tugas di Panduan Pengembang](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) *Layanan Amazon Elastic Container*.
## [ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan
**Kategori:** Lindungi > Perlindungan Data
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ECS::CapacityProvider`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah penyedia kapasitas Amazon ECS telah mengelola perlindungan penghentian yang diaktifkan. Kontrol gagal jika perlindungan terminasi terkelola tidak diaktifkan pada penyedia kapasitas ECS.
Penyedia kapasitas Amazon ECS mengelola penskalaan infrastruktur untuk tugas di cluster Anda. Saat menggunakan instans EC2 untuk kapasitas Anda, Anda menggunakan grup Auto Scaling untuk mengelola instans EC2. Perlindungan terminasi terkelola memungkinkan penskalaan otomatis cluster untuk mengontrol instance mana yang dihentikan. Saat Anda menggunakan perlindungan penghentian terkelola, Amazon ECS hanya menghentikan instans EC2 yang tidak menjalankan tugas Amazon ECS.
**catatan**
Saat menggunakan perlindungan terminasi terkelola, penskalaan terkelola juga harus digunakan jika tidak, perlindungan terminasi terkelola tidak berfungsi.
### Remediasi
Untuk mengaktifkan perlindungan penghentian terkelola bagi penyedia kapasitas Amazon ECS, lihat [Memperbarui perlindungan penghentian terkelola untuk penyedia kapasitas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) di Panduan *Pengembang Layanan Amazon Elastic Container*.
## [ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux
**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS mengonfigurasi wadah Linux untuk dijalankan sebagai pengguna non-root. Kontrol gagal jika pengguna root default dikonfigurasi atau konfigurasi pengguna tidak ada untuk wadah apa pun.
Ketika wadah Linux berjalan dengan hak akses root, mereka menimbulkan beberapa risiko keamanan yang signifikan. Pengguna root memiliki akses tidak terbatas di dalam wadah. Akses yang meningkat ini meningkatkan risiko serangan pelarian kontainer, di mana penyerang berpotensi keluar dari isolasi kontainer dan mengakses sistem host yang mendasarinya. Jika kontainer yang berjalan sebagai root dikompromikan, penyerang dapat mengeksploitasi ini untuk mengakses atau memodifikasi sumber daya sistem host, yang memengaruhi wadah lain atau host itu sendiri. Selain itu, akses root dapat mengaktifkan serangan eskalasi hak istimewa, memungkinkan penyerang untuk mendapatkan izin tambahan di luar cakupan wadah yang dimaksudkan. Parameter pengguna dalam definisi tugas ECS dapat menentukan pengguna dalam beberapa format, termasuk nama pengguna, ID pengguna, nama pengguna dengan grup, atau UID dengan ID grup. Penting untuk mengetahui berbagai format ini saat mengonfigurasi definisi tugas untuk memastikan tidak ada akses root yang diberikan secara tidak sengaja. Mengikuti prinsip hak istimewa terkecil, kontainer harus berjalan dengan izin minimum yang diperlukan menggunakan pengguna non-root. Pendekatan ini secara signifikan mengurangi potensi permukaan serangan dan mengurangi dampak dari potensi pelanggaran keamanan.
**catatan**
Kontrol ini hanya mengevaluasi definisi wadah dalam definisi tugas jika `operatingSystemFamily` dikonfigurasi sebagai `LINUX` atau tidak `operatingSystemFamily` dikonfigurasi dalam definisi tugas. Kontrol akan menghasilkan `FAILED` temuan untuk definisi tugas yang dievaluasi jika definisi wadah apa pun dalam definisi tugas `user` belum dikonfigurasi atau `user` dikonfigurasi sebagai pengguna root default. Pengguna root default untuk `LINUX` kontainer adalah `"root"` dan`"0"`.
### Remediasi
Untuk informasi tentang membuat revisi baru Definisi Tugas Amazon ECS dan memperbarui `user` parameter dalam definisi container, lihat [Memperbarui definisi tugas Amazon ECS di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Container*.
## [ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows
**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ECS::TaskDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah revisi aktif terbaru dari definisi tugas Amazon ECS mengonfigurasi wadah Windows untuk dijalankan sebagai pengguna yang bukan administrator default. Kontrol gagal jika administrator default dikonfigurasi sebagai konfigurasi pengguna atau pengguna tidak ada untuk wadah apa pun.
Ketika wadah Windows berjalan dengan hak administrator, mereka menimbulkan beberapa risiko keamanan yang signifikan. Administrator memiliki akses tak terbatas di dalam wadah. Akses yang meningkat ini meningkatkan risiko serangan pelarian kontainer, di mana penyerang berpotensi keluar dari isolasi kontainer dan mengakses sistem host yang mendasarinya.
**catatan**
Kontrol ini hanya mengevaluasi definisi wadah dalam definisi tugas jika `operatingSystemFamily` dikonfigurasi sebagai `WINDOWS_SERVER` atau tidak `operatingSystemFamily` dikonfigurasi dalam definisi tugas. Kontrol akan menghasilkan `FAILED` temuan untuk definisi tugas yang dievaluasi jika definisi wadah apa pun dalam definisi tugas `user` belum dikonfigurasi atau `user` dikonfigurasi sebagai administrator default untuk `WINDOWS_SERVER` wadah yang`"containeradministrator"`.
### Remediasi
Untuk informasi tentang membuat revisi baru Definisi Tugas Amazon ECS dan memperbarui `user` parameter dalam definisi container, lihat [Memperbarui definisi tugas Amazon ECS di Panduan Pengembang Layanan Amazon Elastic](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Container*.