Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk AWS Transfer Family
AWS Security Hub CSPM Kontrol ini mengevaluasi AWS Transfer Family layanan dan sumber daya. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [Transfer.1] AWS Transfer Family alur kerja harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Transfer::Workflow`
**AWS Config aturan:** `tagged-transfer-workflow` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah AWS Transfer Family alur kerja memiliki tag dengan kunci tertentu yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika alur kerja tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alur kerja tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
**Untuk menambahkan tag ke alur kerja Transfer Family (konsol)**
1. Buka AWS Transfer Family konsol.
1. Di panel navigasi, pilih **Alur Kerja**. Kemudian, pilih alur kerja yang ingin Anda tag.
1. Pilih **Kelola tag**, lalu tambahkan tag.
## [Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
**Persyaratan terkait:** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5, NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Transfer::Server`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah AWS Transfer Family server menggunakan protokol selain FTP untuk koneksi endpoint. Kontrol gagal jika server menggunakan protokol FTP untuk klien untuk terhubung ke endpoint server.
FTP (File Transfer Protocol) menetapkan koneksi titik akhir melalui saluran yang tidak terenkripsi, meninggalkan data yang dikirim melalui saluran ini rentan terhadap intersepsi. Menggunakan SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure), atau AS2 (Applicability Statement 2) menawarkan lapisan keamanan ekstra dengan mengenkripsi data Anda dalam perjalanan dan dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan.
### Remediasi
Untuk mengubah protokol server Transfer Family, lihat [Mengedit protokol transfer file](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) di *AWS Transfer Family Panduan Pengguna*.
## [Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.R5 SI-4, Nist.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Transfer::Connector`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah CloudWatch pencatatan Amazon diaktifkan untuk AWS Transfer Family konektor. Kontrol gagal jika CloudWatch logging tidak diaktifkan untuk konektor.
Amazon CloudWatch adalah layanan pemantauan dan observabilitas yang memberikan visibilitas ke AWS sumber daya Anda, termasuk AWS Transfer Family sumber daya. Untuk Transfer Family, CloudWatch menyediakan audit dan pencatatan terkonsolidasi untuk kemajuan dan hasil alur kerja. Ini mencakup beberapa metrik yang didefinisikan Transfer Family untuk alur kerja. Anda dapat mengonfigurasi Transfer Family untuk secara otomatis mencatat peristiwa konektor CloudWatch. Untuk melakukan ini, Anda menentukan peran logging untuk konektor. Untuk peran logging, Anda membuat peran IAM dan kebijakan IAM berbasis sumber daya yang menentukan izin untuk peran tersebut.
### Remediasi
Untuk informasi tentang mengaktifkan CloudWatch logging untuk konektor Transfer Family, lihat [Amazon CloudWatch logging untuk AWS Transfer Family server](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) di *Panduan AWS Transfer Family Pengguna*.
## [Transfer.4] Perjanjian Transfer Family harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Transfer::Agreement`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah AWS Transfer Family perjanjian memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika perjanjian tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika perjanjian tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.
Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**catatan**
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.
### Remediasi
Untuk informasi tentang menambahkan tag ke AWS Transfer Family perjanjian, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.
## [Transfer.5] Sertifikat Transfer Family harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Transfer::Certificate`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah AWS Transfer Family sertifikat memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika sertifikat tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika sertifikat tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.
Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**catatan**
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.
### Remediasi
Untuk informasi tentang menambahkan tag ke AWS Transfer Family sertifikat, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.
## [Transfer.6] Konektor Transfer Family harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Transfer::Connector`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah AWS Transfer Family konektor memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika konektor tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konektor tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.
Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**catatan**
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.
### Remediasi
Untuk informasi tentang menambahkan tag ke AWS Transfer Family konektor, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag*.
## [Transfer.7] Profil Transfer Family harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Transfer::Profile`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah AWS Transfer Family profil memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika profil tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika profil tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan. Kontrol mengevaluasi profil lokal dan profil mitra.
Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**catatan**
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.
### Remediasi
Untuk informasi tentang menambahkan tag ke AWS Transfer Family profil, lihat [Metode penandaan sumber daya](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) di *Panduan Pengguna AWS Sumber Daya Tag dan Editor Tag*.