〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります〔AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります〔AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください

AWS AppSync コントロール

これらのコントロールは AWS AppSync リソースに関連しています。

これらのコントロールは、すべてので利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ: AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-logging-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`fieldLoggingLevel`	フィールドのログ記録レベル	列挙型	`ERROR`, `ALL`	`No default value`

このコントロールは、 AWS AppSync API でフィールドレベルのログ記録が有効になっているかどうかをチェックします。フィールドリゾルバーのログレベルが [なし] に設定されている場合、コントロールは失敗します。特定のログタイプを有効にする必要があることを示すカスタムパラメータ値を指定しない限り、フィールドリゾルバーのログレベルが ERROR または ALL であれば、Security Hub は成功の検出結果を生成します。

ログおよびメトリクスを使用して、GraphQL クエリを特定、トラブルシューティング、最適化できます。 AWS AppSync GraphQL のログ記録を有効にすると、API リクエストとレスポンスに関する詳細情報を取得し、問題を特定して対応し、規制要件に準拠できます。

修正

のログ記録を有効にするには AWS AppSync、「 AWS AppSync デベロッパーガイド」の「セットアップと設定」を参照してください。

〔AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::AppSync::GraphQLApi

AWS Config ルール: tagged-appsync-graphqlapi (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
`requiredTagKeys`	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	デフォルト値なし

このコントロールは、 AWS AppSync GraphQL API にパラメータで定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。GraphQL API にタグキーがない場合、またはパラメータで指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、GraphQL API にキーがタグ付けされていない場合は失敗します。自動的に適用され、で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「の ABAC とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、を含む多くのがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。

修正

AWS AppSync GraphQL API にタグを追加するには、「 API リファレンスTagResource」の「」を参照してください。 AWS AppSync

〔AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください

関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証

重要度: 高

リソースタイプ: AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-authorization-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

AllowedAuthorizationTypes: AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS (カスタマイズ不可)

このコントロールは、アプリケーションが API キーを使用して AWS AppSync GraphQL API とやり取りしているかどうかをチェックします。 AWS AppSync GraphQL API が API キーで認証されている場合、コントロールは失敗します。

API キーは、認証されていない GraphQL エンドポイントを作成するときに AWS AppSync サービスによって生成されるアプリケーション内のハードコードされた値です。この API キーが侵害されると、エンドポイントは意図しないアクセスに対して脆弱になります。一般にアクセス可能なアプリケーションやウェブサイトをサポートしている場合を除き、API キーを認証に使用することはお勧めしません。

修正

AWS AppSync GraphQL API の認証オプションを設定するには、「 AWS AppSync デベロッパーガイド」の「認証と認証」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

API Gateway コントロール

Athena コントロール