Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Security Hub Kontrol ini mengevaluasi AWS Private Certificate Authority (AWS Private CA) layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::ACMPCA::CertificateAuthority
AWS Config aturan: acm-pca-root-ca-disabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS Private CA memiliki otoritas sertifikat root (CA) yang dinonaktifkan. Kontrol gagal jika root CA diaktifkan.
Dengan AWS Private CA, Anda dapat membuat hierarki CA yang mencakup CA root dan bawahan CAs. Anda harus meminimalkan penggunaan CA root untuk tugas sehari-hari, terutama di lingkungan produksi. Root CA seharusnya hanya digunakan untuk menerbitkan sertifikat untuk perantara CAs. Hal ini memungkinkan CA root disimpan di luar bahaya sementara perantara CAs melakukan tugas harian menerbitkan sertifikat entitas akhir.
Remediasi
Untuk menonaktifkan root CA, lihat Memperbarui status CA di Panduan AWS Private Certificate Authority Pengguna.
[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::ACMPCA::CertificateAuthority
AWS Config aturan: acmpca-certificate-authority-tagged
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
requiredKeyTags
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan | Tidak ada nilai default |
Kontrol ini memeriksa apakah otoritas sertifikat CA AWS Pribadi memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredKeyTags. Kontrol gagal jika otoritas sertifikat tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredKeyTags. Jika parameter requiredKeyTags tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika otoritas sertifikat tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk mengetahui praktik terbaik penandaan lainnya, lihat Praktik dan strategi terbaik di Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag.
Remediasi
Untuk menambahkan tag ke otoritas CA AWS Pribadi, lihat Menambahkan tag untuk CA pribadi Anda di Panduan AWS Private Certificate Authority Pengguna.
