翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の Security Hub CSPM コントロール CloudFormation
これらの Security Hub CSPM コントロールは、 AWS CloudFormation サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります
**重要**
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。
**関連する要件:** NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)
**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング
**重要度:** 低
**リソースタイプ :** `AWS::CloudFormation::Stack`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon Simple Notification Service の通知が CloudFormation スタックに統合されているかどうかをチェックします。CloudFormation スタックに関連付けられた SNS 通知がない場合、そのコントロールは失敗します。
SNS 通知を、CloudFormation スタックを使って設定すると、スタックで発生したイベントや変更を、ステークホルダーにすぐに通知することができます。
### 修正
CloudFormation スタックと SNS トピックを統合するには、「*AWS CloudFormation ユーザーガイド*」の「[スタックの直接更新](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html)」を参照してください。
## [CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::CloudFormation::Stack`
**AWS Config rule:** `tagged-cloudformation-stack` (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、 AWS CloudFormation スタックにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。スタックにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、スタックにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
**注記**
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、『』の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。
### 修正
CloudFormation スタックにタグを追加するには、「*AWS CloudFormation API リファレンス*」の「[CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)」を参照してください。
## [CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります
**カテゴリ:** 保護 > データ保護 > データ削除保護
**重要度:** 中
**リソースタイプ :** `AWS::CloudFormation::Stack`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、 AWS CloudFormation スタックで終了保護が有効になっているかどうかを確認します。CloudFormation スタックで終了保護が有効になっていない場合、コントロールは失敗します。
CloudFormation は、関連するリソースを スタックと呼ばれる単一のユニットとして管理するのに役立ちます。スタックの削除保護を有効にして、スタックが誤って削除されるのを防ぐことができます。削除保護を有効にした状態でスタックを削除しようとすると、削除は失敗し、ステータスを含め、スタックが変更されることはありません。スタックの削除保護は、任意のステータスで設定できます ([`DELETE_IN_PROGRESS`] または [`DELETE_COMPLETE`] を除く)。
**注記**
スタックで削除保護を有効または無効にすると、そのスタックに属するネストされたスタックにも同じ選択が適用されます。ネストされたスタックの削除保護を直接有効または無効にすることはできません。終了保護が有効になっているスタックに属するネストされたスタックを直接削除することはできません。スタック名の横に [ネスト] と表示されている場合、そのスタックは、ネストされたスタックです。ネストされたスタックが属するルートスタックの削除保護のみ変更することができます。
### 修正
CloudFormation スタックで終了保護を有効にするには、「 *AWS CloudFormation ユーザーガイド*」の[CloudFormation スタックが削除されないように保護する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html)」を参照してください。
## [CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です
**カテゴリ:** 検出 > セキュアなアクセス管理
**重要度:** 中
**リソースタイプ :** `AWS::CloudFormation::Stack`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、 AWS CloudFormation スタックにサービスロールが関連付けられているかどうかをチェックします。CloudFormation スタックにサービスロールが関連付けられていない場合、コントロールは失敗します。
サービスマネージド StackSets は、 AWS Organizations の信頼されたアクセス統合を通じて実行ロールを使用します。コントロールは、サービスマネージド StackSets によって作成された AWS CloudFormation スタックの FAILED 検出結果も生成します。これは、サービスロールが関連付けられていないためです。サービスマネージド StackSets の認証方法により、これらのスタックに `roleARN`フィールドを入力することはできません。
CloudFormation スタックでサービスロールを使用すると、スタックを作成/更新するユーザーとCloudFormation がリソースを作成/更新するために必要なアクセス許可を分離することで、最小特権アクセスを実装できます。これにより、特権エスカレーションのリスクが軽減され、さまざまな運用ロール間のセキュリティ境界を維持するのに役立ちます。
**注記**
スタックの作成後に、スタックにアタッチされたサービスロールを削除することはできません。このスタックで操作を実行する権限を持つ他のユーザーは、`iam:PassRole` 権限の有無にかかわらず、このロールを使用できます。ユーザーが持つべきではないアクセス許可がロールに含まれる場合、ユーザーのアクセス許可を非意図的にエスカレーションできてしまいます。ロールが 最小特権 を付与することを確認します。
### 修正
サービスロールを CloudFormation スタックに関連付けるには、*AWS CloudFormation 「 ユーザーガイド*」の[CloudFormation サービスロール](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html)」を参照してください。