Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon SES
AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Simple Email Service (Amazon SES).
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [SES.1] Daftar kontak SES harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::SES::ContactList`
**AWS Config aturan:** `tagged-ses-contactlist` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah daftar kontak Amazon SES memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika daftar kontak tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika daftar kontak tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke daftar kontak Amazon SES, lihat [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)di *Referensi Amazon SES API v2*.
## [SES.2] Set konfigurasi SES harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::SES::ConfigurationSet`
**AWS Config aturan:** `tagged-ses-configurationset` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah set konfigurasi Amazon SES memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika set konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika set konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke set konfigurasi Amazon SES, lihat [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)di *Referensi Amazon SES API v2*.
## [SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SES::ConfigurationSet`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah set konfigurasi Amazon SES memerlukan koneksi TLS. Kontrol gagal jika Kebijakan TLS tidak disetel ke `'REQUIRE'` set konfigurasi.
Secara default, Amazon SES menggunakan TLS oportunistik, yang berarti email dapat dikirim tanpa enkripsi jika koneksi TLS tidak dapat dibuat dengan server email penerima. Menegakkan TLS untuk pengiriman email memastikan bahwa pesan hanya terkirim ketika koneksi terenkripsi yang aman dapat dibuat. Ini membantu melindungi kerahasiaan dan integritas konten email selama transmisi antara Amazon SES dan server email penerima. Jika koneksi TLS aman tidak dapat dibuat, pesan tidak akan dikirimkan, mencegah potensi paparan informasi sensitif.
**catatan**
Meskipun TLS 1.3 adalah metode pengiriman default untuk Amazon SES, tanpa menerapkan persyaratan TLS melalui set konfigurasi, pesan berpotensi dikirimkan dalam teks biasa jika koneksi TLS gagal. Untuk meneruskan kontrol ini, Anda harus mengonfigurasi Kebijakan TLS ke `'REQUIRE'` dalam opsi pengiriman set konfigurasi SES Anda. Ketika TLS diperlukan, pesan hanya dikirim jika koneksi TLS dapat dibuat dengan server email penerima.
### Remediasi
Untuk mengonfigurasi Amazon SES agar memerlukan koneksi TLS untuk set konfigurasi, lihat [Amazon SES dan protokol keamanan](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) di Panduan Pengembang *Amazon SES.*