翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の Security Hub CSPM コントロール AWS AppSync
<a name="appsync-controls"></a>

これらの Security Hub CSPM コントロールは、 AWS AppSync サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります
<a name="appsync-1"></a>

**重要**  
Security Hub CSPM は、2026 年 3 月 9 日にこのコントロールを廃止しました。詳細については、「」を参照してください[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)。 AWS AppSync 現在および将来のすべての API キャッシュでデフォルトの暗号化が提供されるようになりました。

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS AppSync API キャッシュが保管中に暗号化されているかどうかをチェックします。API キャッシュが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

### 修正
<a name="appsync-1-remediation"></a>

 AWS AppSync API のキャッシュを有効にした後で暗号化設定を変更することはできません。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「*AWS AppSync デベロッパーガイド*」の「[キャッシュ暗号化](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)」を参照してください。

## [AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります
<a name="appsync-2"></a>

**関連する要件:** PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :** 


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  フィールドのログ記録レベル  |  列挙型  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

このコントロールは、 AWS AppSync API でフィールドレベルのログ記録が有効になっているかどうかをチェックします。フィールドリゾルバーのログレベルが **[なし]** に設定されている場合、コントロールは失敗します。特定のログタイプを有効にする必要があることを示すカスタムパラメータ値を指定しない限り、フィールドリゾルバーのログレベルが `ERROR`または の場合、Security Hub CSPM は渡された結果を生成します`ALL`。

ログおよびメトリクスを使用して、GraphQL クエリを特定、トラブルシューティング、最適化できます。 AWS AppSync GraphQL のログ記録を有効にすると、API リクエストとレスポンスに関する詳細情報を取得し、問題を特定して対応し、規制要件に準拠できます。

### 修正
<a name="appsync-2-remediation"></a>

のログ記録を有効にするには AWS AppSync、 *AWS AppSync デベロッパーガイド*の[「セットアップと設定](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration)」を参照してください。

## [AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります
<a name="appsync-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config rule:** `tagged-appsync-graphqlapi` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、 AWS AppSync GraphQL API にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。GraphQL API にタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、GraphQL API にキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="appsync-4-remediation"></a>

 AWS AppSync GraphQL API にタグを追加するには、 *AWS AppSync API リファレンス*[https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)の「」を参照してください。

## [AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください
<a name="appsync-5"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**カテゴリ:** 保護 > セキュアなアクセス管理 > パスワードレス認証

**重要度:** 高

**リソースタイプ :** `AWS::AppSync::GraphQLApi`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (カスタマイズ不可)

このコントロールは、アプリケーションが API キーを使用して AWS AppSync GraphQL API を操作するかどうかをチェックします。 AWS AppSync GraphQL API が API キーで認証されている場合、コントロールは失敗します。

API キーは、認証されていない GraphQL エンドポイントを作成するときに AWS AppSync サービスによって生成されるアプリケーション内のハードコードされた値です。この API キーが侵害されると、エンドポイントは意図しないアクセスに対して脆弱になります。一般にアクセス可能なアプリケーションやウェブサイトをサポートしている場合を除き、API キーを認証に使用することはお勧めしません。

### 修正
<a name="appsync-5-remediation"></a>

 AWS AppSync GraphQL API の認可オプションを設定するには、「 *AWS AppSync デベロッパーガイド*」の[「認可と認証](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html)」を参照してください。

## [AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります
<a name="appsync-6"></a>

**重要**  
Security Hub CSPM は、2026 年 3 月 9 日にこのコントロールを廃止しました。詳細については、「」を参照してください[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)。 AWS AppSync 現在および将来のすべての API キャッシュでデフォルトの暗号化が提供されるようになりました。

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::AppSync::ApiCache`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS AppSync API キャッシュが転送中に暗号化されているかどうかをチェックします。API キャッシュが転送中に暗号化されていない場合、コントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

### 修正
<a name="appsync-6-remediation"></a>

 AWS AppSync API のキャッシュを有効にした後で暗号化設定を変更することはできません。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「*AWS AppSync デベロッパーガイド*」の「[キャッシュ暗号化](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)」を参照してください。