翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール AWS AppSync

これらの Security Hub コントロールは、 AWS AppSync サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-cache-ct-encryption-at-rest

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS AppSync APIキャッシュが保管中に暗号化されているかどうかをチェックします。API キャッシュが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

修正

のキャッシュを有効にした後で暗号化設定を変更することはできません AWS AppSync API。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「AWS AppSync デベロッパーガイド」の「キャッシュ暗号化」を参照してください。

〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります

関連する要件： PCI DSS v4.0.1/10.4.2

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-logging-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、 AWS AppSync APIでフィールドレベルのログ記録が有効になっているかどうかを確認します。フィールドリゾルバーのログレベルが [なし] に設定されている場合、コントロールは失敗します。特定のログタイプを有効にする必要があることを示すカスタムパラメータ値を指定しない限り、フィールドリゾルバーのログレベルが ERROR または ALL であれば、Security Hub は成功の検出結果を生成します。

ログおよびメトリクスを使用して、GraphQL クエリを特定、トラブルシューティング、最適化できます。 AWS AppSync GraphQL のログ記録を有効にすると、APIリクエストとレスポンスに関する詳細情報の取得、問題の特定と対応、規制要件への準拠に役立ちます。

修正

のログ記録を有効にするには AWS AppSync、「 AWS AppSync デベロッパーガイド」の「セットアップと設定」を参照してください。

〔AppSync.4] AWS AppSync GraphQL にはタグを付けるAPIs必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Config ルール: tagged-appsync-graphqlapi (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールAPIは、 AWS AppSync GraphQL にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。GraphQL にタグキーAPIがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータ が指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、GraphQL にキーがタグ付けされていない場合APIは失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

AWS AppSync GraphQL にタグを追加するにはAPI、「」を参照してください。 TagResource 「 AWS AppSync APIリファレンス」の「��

〔AppSync.5] AWS AppSync GraphQL APIs はAPIキーで認証しないでください

関連する要件： NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3、、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-6

カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証

重要度: 高

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-authorization-check

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、アプリケーションが APIキーを使用して AWS AppSync GraphQL とやり取りしているかどうかをチェックしますAPI。 AWS AppSync GraphQL が APIキーで認証されると、コントロールAPIは失敗します。

API キーは、認証されていない GraphQL エンドポイントを作成するときに AWS AppSync サービスによって生成されるアプリケーション内のハードコードされた値です。このAPIキーが侵害された場合、エンドポイントは意図しないアクセスに対して脆弱になります。パブリックにアクセス可能なアプリケーションまたはウェブサイトをサポートしていない限り、認証に APIキーを使用することはお勧めしません。

修正

AWS AppSync GraphQL の認可オプションを設定するにはAPI、「 AWS AppSync デベロッパーガイド」の「認可と認証」を参照してください。

〔AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります

カテゴリ： 保護 > データ保護 > の暗号化 data-in-transit

重要度: 中

リソースタイプ : AWS::AppSync::ApiCache

AWS Config ルール : appsync-cache-ct-encryption-in-transit

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS AppSync API キャッシュが転送中に暗号化されているかどうかをチェックします。API キャッシュが転送中に暗号化されていない場合、コントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

修正

のキャッシュを有効にした後で暗号化設定を変更することはできません AWS AppSync API。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「AWS AppSync デベロッパーガイド」の「キャッシュ暗号化」を参照してください。