Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per AWS CloudFormation

Questi controlli del Security Hub valutano il AWS CloudFormation servizio e risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.

[CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service () SNS

Requisiti correlati: NIST .800-53.r5 SI-4 (12), .800-53.r5 SI-4 (5) NIST

Categoria: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni

Gravità: bassa

Tipo di risorsa: AWS::CloudFormation::Stack

AWS Config regola: cloudformation-stack-notification-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una notifica di Amazon Simple Notification Service è integrata con un AWS CloudFormation pila. Il controllo fallisce per uno CloudFormation stack se non è associata alcuna SNS notifica.

La configurazione di una SNS notifica con CloudFormation lo stack consente di notificare immediatamente alle parti interessate eventuali eventi o modifiche che si verificano nello stack.

Correzione

Per integrare uno CloudFormation stack e un SNS argomento, consulta Aggiornare gli stack direttamente nel AWS CloudFormation Guida per l'utente.

[CloudFormation.2] gli CloudFormation stack devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::CloudFormation::Stack

AWS Config regola: tagged-cloudformation-stack (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un AWS CloudFormation stack ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se lo stack non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo stack non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a una CloudFormation pila, vedi CreateStackin AWS CloudFormation APIRiferimento.