Route 53 の Security Hub コントロール - AWS Security Hub
[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Route 53 の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon Route 53 サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::Route53::HealthCheck

AWS Config ルール:tagged-route53-healthcheck (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon Route 53 ヘルスチェックにパラメータ requiredTagKeys で定義された特定のキーを含むタグがあるかどうかをチェックします。ヘルスチェックにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ヘルスチェックにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Route 53 ヘルスチェックにタグを追加するには、「Amazon Route 53 デベロッパーガイド」の「ヘルスチェックの命名とタグ付け」を参照してください。

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

関連する要件: NIST.800-53.r5 AC-2 (4) NIST.800-53.r5 AC-4、 (26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7、 (9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.4.2

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::Route53::HostedZone

AWS Config ルール : route53-query-logging-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Route 53 パブリックホストゾーンでDNSクエリログ記録が有効になっているかどうかを確認します。Route 53 パブリックホストゾーンでDNSクエリログ記録が有効になっていない場合、コントロールは失敗します。

Route 53 ホストゾーンのDNSクエリのログ記録は、DNSセキュリティとコンプライアンスの要件に対処し、可視性を付与します。ログには、クエリされたドメインまたはサブドメイン、クエリの日時、DNSレコードタイプ (A や などAAAA)、DNSレスポンスコード ( NoError や など) などの情報が含まれますServFail。DNS クエリログ記録が有効になっている場合、Route 53 はログファイルを Amazon CloudWatch Logs に発行します。

修正

Route 53 パブリックホストゾーンのDNSクエリをログに記録するには、「Amazon Route 53 デベロッパーガイド」のDNS「クエリのログ記録の設定」を参照してください。