Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per Step Functions

Questi AWS Security Hub controlli valutano il AWS Step Functions servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

Requisiti correlati: PCI DSS v4.0.1/10.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::StepFunctions::StateMachine

Regola AWS Config : step-functions-state-machine-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controlla se una macchina a AWS Step Functions stati ha la registrazione attivata. Il controllo fallisce se una macchina a stati non ha la registrazione attivata. Se si fornisce un valore personalizzato per il logLevel parametro, il controllo viene eseguito solo se sulla macchina a stati è attivato il livello di registrazione specificato.

Il monitoraggio aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Step Functions. È necessario raccogliere tutti i dati di monitoraggio Servizi AWS che si utilizzano in modo da poter eseguire più facilmente il debug degli errori multipunto. Avere una configurazione di registrazione definita per le tue macchine a stati Step Functions ti consente di tenere traccia della cronologia di esecuzione e dei risultati in Amazon CloudWatch Logs. Facoltativamente, puoi tenere traccia solo degli errori o degli eventi fatali.

Correzione

Per attivare la registrazione per una macchina a stati Step Functions, consulta Configure logging nella AWS Step Functions Developer Guide.

[StepFunctions.2] Le attività di Step Functions devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::StepFunctions::Activity

AWS Config regola: tagged-stepfunctions-activity (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un' AWS Step Functions attività ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'attività non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un'attività di Step Functions, consulta Tagging in Step Functions nella AWS Step Functions Developer Guide.