Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli di Amazon Simple Queue Service

Questi controlli sono correlati alle risorse Amazon SQS.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::SQS::Queue

AWS Config regola: sqs-queue-encrypted (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una coda Amazon SQS è crittografata quando è inattiva. Il controllo fallisce se la coda non è crittografata con una chiave gestita da SQS (SSE-SQS) o una chiave () (SSE-KMS). AWS Key Management Service AWS KMS

La crittografia dei dati inattivi riduce il rischio che un utente non autorizzato acceda ai dati archiviati su disco. La crittografia lato server (SSE) protegge il contenuto dei messaggi nelle code SQS utilizzando chiavi di crittografia gestite da SQL (SSE-SQS) o chiavi (SSE-KMS). AWS KMS

Correzione

Per configurare SSE per una coda SQS, consulta Configurazione della crittografia lato server (SSE) per una coda (console) nella Amazon Simple Queue Service Developer Guide.

[SQS.2] Le code SQS devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::SQS::Queue

AWS Config regola: tagged-sqs-queue (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se una coda Amazon SQS ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la coda non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la coda non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a una coda esistente utilizzando la console Amazon SQS, consulta Configuring cost allocation tags for a Amazon SQS queue (console) nella Amazon Simple Queue Service Developer Guide.