Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controlli CSPM Security Hub per AWS Private CA
<a name="pca-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Autorità di certificazione privata (AWS Private CA).

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
<a name="pca-1"></a>

**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

**Categoria:** Protezione > Configurazione di rete protetta

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ACMPCA::CertificateAuthority`

**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se AWS Private CA dispone di un'autorità di certificazione (CA) principale disabilitata. Il controllo fallisce se la CA principale è abilitata.

Con AWS Private CA, è possibile creare una gerarchia di CA che include una CA radice e una CAs subordinata. È necessario ridurre al minimo l'uso della CA root per le attività quotidiane, specialmente negli ambienti di produzione. La CA principale deve essere utilizzata solo per emettere certificati CAs intermedi. In questo modo la CA principale può essere conservata al riparo dai pericoli, mentre quella intermedia CAs esegue l'attività quotidiana di emissione di certificati di entità finale.

### Correzione
<a name="pca-1-remediation"></a>

*Per disabilitare la CA principale, consulta la sezione [Aggiornamento dello stato della CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) nella Guida per l'utente.AWS Autorità di certificazione privata *

## [PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
<a name="pca-2"></a>

**Categoria: Identificazione > Inventario** > Etichettatura

**Gravità: ** bassa

**Tipo di risorsa:** `AWS::ACMPCA::CertificateAuthority`

**Regola AWS Config : ** `acmpca-certificate-authority-tagged`

**Tipo di pianificazione:** modifica attivata

**Parametri:**


| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole  | StringList (massimo 6 articoli)  | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)  |  Nessun valore predefinito  | 

Questo controllo verifica se un'autorità di certificazione CA AWS privata dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo ha esito negativo se l'autorità di certificazione non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'autorità di certificazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.

**Nota**  
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.

### Correzione
<a name="pca-2-remediation"></a>

Per aggiungere tag a un'autorità CA AWS privata, consulta [Aggiungere tag per la CA privata nella Guida](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) per l'*AWS Autorità di certificazione privata utente*.