Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per Route 53
Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon Route 53.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::Route53::HealthCheck
AWS Config regola: tagged-route53-healthcheck (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se un controllo dello stato di Amazon Route 53 contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il controllo dello stato non contiene alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il controllo di integrità non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un controllo di integrità della Route 53, consulta i controlli di integrità di denominazione e etichettatura nella Amazon Route 53 Developer Guide.
[Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.4.2 NIST PCI DSS
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::Route53::HostedZone
Regola AWS Config : route53-query-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione delle DNS query è abilitata per una zona ospitata pubblica su Amazon Route 53. Il controllo fallisce se la registrazione delle DNS query non è abilitata per una zona ospitata pubblicamente su Route 53.
La registrazione DNS delle query per una zona ospitata sulla Route 53 soddisfa i requisiti DNS di sicurezza e conformità e garantisce la visibilità. I log includono informazioni quali il dominio o il sottodominio su cui è stata eseguita la query, la data e l'ora della query, il tipo di DNS record (ad esempio, A oAAAA) e il codice di DNS risposta (ad esempio, o). NoError ServFail Quando la registrazione delle DNS query è abilitata, Route 53 pubblica i file di registro su Amazon CloudWatch Logs.
Correzione
Per registrare DNS le query per le zone ospitate pubbliche di Route 53, consulta Configurazione della registrazione per le DNS query nella Amazon Route 53 Developer Guide.
