Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM del Security Hub per Amazon SQS
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Queue Service (Amazon SQS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::SQS::Queue`
**AWS Config regola:** `sqs-queue-encrypted` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se una coda Amazon SQS è crittografata quando è inattiva. Il controllo fallisce se la coda non è crittografata con una chiave gestita da SQS (SSE-SQS) o una chiave () (SSE-KMS). AWS Key Management Service AWS KMS
La crittografia dei dati inattivi riduce il rischio che un utente non autorizzato acceda ai dati archiviati su disco. La crittografia lato server (SSE) protegge il contenuto dei messaggi nelle code SQS utilizzando chiavi di crittografia gestite da SQL (SSE-SQS) o chiavi (SSE-KMS). AWS KMS
### Correzione
*Per configurare SSE per una coda SQS, consulta [Configurazione della crittografia lato server (SSE) per una coda (console) nella Amazon Simple Queue Service Developer](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) Guide.*
## [SQS.2] Le code SQS devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SQS::Queue`
**AWS Config regola:** `tagged-sqs-queue` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una coda Amazon SQS ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la coda non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la coda non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a una coda esistente utilizzando la console Amazon SQS, [consulta Configuring cost allocation tags for a Amazon SQS queue (console) nella Amazon Simple Queue Service Developer](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) Guide.*
## [SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::SQS::Queue`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una policy di accesso di Amazon SQS consente l'accesso pubblico a una coda SQS. Il controllo fallisce se una policy di accesso SQS consente l'accesso pubblico alla coda.
Una policy di accesso di Amazon SQS può consentire l'accesso pubblico a una coda SQS, il che potrebbe consentire a un utente anonimo o a qualsiasi identità AWS IAM autenticata di accedere alla coda. Le policy di accesso SQS in genere forniscono questo accesso specificando il carattere jolly (`*`) nell'`Principal`elemento della policy, non utilizzando condizioni adeguate per limitare l'accesso alla coda, o entrambe le cose. Se una politica di accesso SQS consente l'accesso pubblico, terze parti potrebbero essere in grado di eseguire attività come ricevere messaggi dalla coda, inviare messaggi alla coda o modificare la politica di accesso per la coda. Ciò potrebbe causare eventi come l'esfiltrazione di dati, l'interruzione del servizio o l'inserimento di messaggi nella coda da parte di un autore della minaccia.
**Nota**
Questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella policy di accesso di Amazon SQS per una coda devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. *Per informazioni sulle variabili di policy, consulta [Variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella Guida per l'AWS Identity and Access Management utente.*
### Correzione
*Per informazioni sulla configurazione della policy di accesso SQS per una coda SQS, consulta [Using custom policies with the Amazon SQS Access Policy Language nella Amazon Simple](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) Queue Service Developer Guide.*