Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Secrets Manager
AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Secrets Manager layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Kategori:** Lindungi > Pengembangan aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SecretsManager::Secret`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `maximumAllowedRotationFrequency` | Jumlah hari maksimum yang diizinkan untuk frekuensi rotasi rahasia | Bilangan Bulat | `1` untuk `365` | Tidak ada nilai default |
Kontrol ini memeriksa apakah rahasia yang disimpan AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Kontrol gagal jika rahasia tidak dikonfigurasi dengan rotasi otomatis. Jika Anda memberikan nilai khusus untuk `maximumAllowedRotationFrequency` parameter, kontrol hanya akan berlalu jika rahasia diputar secara otomatis dalam jendela waktu yang ditentukan.
Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensi basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secrets Manager untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis.
Secrets Manager dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda. Untuk mempelajari lebih lanjut tentang rotasi, lihat [Memutar AWS Secrets Manager rahasia Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
### Remediasi
Untuk mengaktifkan rotasi otomatis rahasia Secrets Manager, lihat [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia menggunakan konsol](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*. Anda harus memilih dan mengkonfigurasi AWS Lambda fungsi untuk rotasi.
## [SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Kategori:** Lindungi > Pengembangan aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SecretsManager::Secret`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah AWS Secrets Manager rahasia berhasil diputar berdasarkan jadwal rotasi. Kontrol gagal jika `RotationOccurringAsScheduled` ada`false`. Kontrol hanya mengevaluasi rahasia yang telah dihidupkan rotasi.
Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensi basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Secrets Manager untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis.
Secrets Manager dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda.
Selain mengonfigurasi rahasia untuk diputar secara otomatis, Anda harus memastikan bahwa rahasia tersebut berhasil diputar berdasarkan jadwal rotasi.
Untuk mempelajari lebih lanjut tentang rotasi, lihat [Memutar AWS Secrets Manager rahasia Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.
### Remediasi
Jika rotasi otomatis gagal, maka Secrets Manager mungkin mengalami kesalahan dengan konfigurasi. Untuk memutar rahasia di Secrets Manager, Anda menggunakan fungsi Lambda yang mendefinisikan cara berinteraksi dengan database atau layanan yang memiliki rahasia.
*Untuk bantuan mendiagnosis dan memperbaiki kesalahan umum yang terkait dengan rotasi rahasia, lihat [Memecahkan masalah AWS Secrets Manager rotasi rahasia di Panduan](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) Pengguna.AWS Secrets Manager *
## [SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)
**Kategori:** Lindungi > Manajemen akses yang aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SecretsManager::Secret`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)**
**Jenis jadwal:** Periodik
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `unusedForDays` | Jumlah hari maksimum yang rahasia dapat tetap tidak digunakan | Bilangan Bulat | `1` untuk `365` | `90` |
Kontrol ini memeriksa apakah AWS Secrets Manager rahasia telah diakses dalam jangka waktu yang ditentukan. Kontrol gagal jika rahasia tidak digunakan di luar kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode akses, Security Hub CSPM menggunakan nilai default 90 hari.
Menghapus rahasia yang tidak digunakan sama pentingnya dengan memutar rahasia. Rahasia yang tidak digunakan dapat disalahgunakan oleh mantan pengguna mereka, yang tidak lagi membutuhkan akses ke rahasia ini. Selain itu, karena semakin banyak pengguna mendapatkan akses ke rahasia, seseorang mungkin salah menangani dan membocorkannya ke entitas yang tidak sah, yang meningkatkan risiko penyalahgunaan. Menghapus rahasia yang tidak digunakan membantu mencabut akses rahasia dari pengguna yang tidak lagi membutuhkannya. Ini juga membantu mengurangi biaya penggunaan Secrets Manager. Oleh karena itu, penting untuk secara rutin menghapus rahasia yang tidak digunakan.
### Remediasi
Untuk menghapus rahasia Secrets Manager yang tidak aktif, lihat [Menghapus AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) di *Panduan AWS Secrets Manager Pengguna*.
## [SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Kategori:** Lindungi > Manajemen akses yang aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SecretsManager::Secret`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)**
**Jenis jadwal:** Periodik
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `maxDaysSinceRotation` | Jumlah hari maksimum yang rahasia dapat tetap tidak berubah | Bilangan Bulat | `1` untuk `180` | `90` |
Kontrol ini memeriksa apakah sebuah AWS Secrets Manager rahasia diputar setidaknya sekali dalam jangka waktu yang ditentukan. Kontrol gagal jika rahasia tidak diputar setidaknya ini sering. Kecuali Anda memberikan nilai parameter khusus untuk periode rotasi, Security Hub CSPM menggunakan nilai default 90 hari.
Rahasia berputar dapat membantu Anda mengurangi risiko penggunaan rahasia Anda yang tidak sah dalam diri Anda. Akun AWS Contohnya termasuk kredensi basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. Jika Anda tidak mengubah rahasia Anda untuk jangka waktu yang lama, rahasianya lebih mungkin dikompromikan.
Karena semakin banyak pengguna mendapatkan akses ke rahasia, kemungkinan besar seseorang salah menangani dan membocorkannya ke entitas yang tidak sah. Rahasia dapat bocor melalui log dan data cache. Mereka dapat dibagikan untuk tujuan debugging dan tidak diubah atau dicabut setelah debugging selesai. Untuk semua alasan ini, rahasia harus sering diputar.
Anda dapat mengonfigurasi rotasi otomatis untuk rahasia di AWS Secrets Manager. Dengan rotasi otomatis, Anda dapat mengganti rahasia jangka panjang dengan rahasia jangka pendek, secara signifikan mengurangi risiko kompromi. Kami menyarankan Anda mengonfigurasi rotasi otomatis untuk rahasia Secrets Manager Anda. Untuk informasi selengkapnya, lihat [Memutar rahasia AWS Secrets Manager Anda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan Pengguna AWS Secrets Manager *.
### Remediasi
Untuk mengaktifkan rotasi otomatis rahasia Secrets Manager, lihat [Mengatur rotasi otomatis untuk AWS Secrets Manager rahasia menggunakan konsol](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) di *Panduan AWS Secrets Manager Pengguna*. Anda harus memilih dan mengkonfigurasi AWS Lambda fungsi untuk rotasi.
## [SecretsManager.5] Rahasia Secrets Manager harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::SecretsManager::Secret`
**AWS Config aturan:** `tagged-secretsmanager-secret` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah AWS Secrets Manager rahasia memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika rahasia tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika rahasia tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke rahasia Secrets Manager, lihat [Menandai AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) di *Panduan AWS Secrets Manager Pengguna*.