翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon SES の Security Hub CSPM コントロール
<a name="ses-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Simple Email Service (Amazon SES) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SES.1] SES 連絡先リストにはタグを付ける必要があります
<a name="ses-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SES::ContactList`

**AWS Config rule:** `tagged-ses-contactlist` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon SES 連絡先リストにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。連絡先リストにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、連絡先リストにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ses-1-remediation"></a>

Amazon SES 連絡先リストにタグを追加するには、「*Amazon SES API v2 リファレンス*」の「[TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)」を参照してください。

## [SES.2] SES 設定セットにはタグを付ける必要があります
<a name="ses-2"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SES::ConfigurationSet`

**AWS Config rule:** `tagged-ses-configurationset` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし  | 

このコントロールは、Amazon SES 設定セットにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。設定セットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、設定セットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 [AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="ses-2-remediation"></a>

Amazon SES 設定セットにタグを追加するには、「*Amazon SES API v2 リファレンス*」の「[TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)」を参照してください。

## [SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります
<a name="ses-3"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化 

**重要度:** 中

**リソースタイプ :** `AWS::SES::ConfigurationSet`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SES 設定セットに TLS 接続が必要かどうかをチェックします。設定セットの TLS ポリシーが に設定されていない場合、コントロールは失敗`'REQUIRE'`します。

デフォルトでは、Amazon SES は日和見 TLS を使用します。つまり、受信メールサーバーで TLS 接続を確立できない場合、E メールを暗号化せずに送信できます。E メール送信に TLS を適用すると、安全な暗号化された接続を確立できる場合にのみメッセージが配信されます。これにより、Amazon SES と受信者のメールサーバー間の送信中に E メールコンテンツの機密性と整合性を保護することができます。安全な TLS 接続を確立できない場合、メッセージは配信されないため、機密情報が公開される可能性があります。

**注記**  
TLS 1.3 は Amazon SES のデフォルトの配信方法ですが、設定セットを通じて TLS 要件を強制することなく、TLS 接続が失敗した場合にメッセージがプレーンテキストで配信される可能性があります。このコントロールを渡すには、SES 設定セットの配信オプション`'REQUIRE'`で TLS ポリシーを に設定する必要があります。TLS が必要な場合、メッセージは受信メールサーバーで TLS 接続を確立できる場合にのみ配信されます。

### 修正
<a name="ses-3-remediation"></a>

設定セットの TLS 接続を要求するように Amazon SES を設定するには、[Amazon SESデベロッパーガイド」の「Amazon SES とセキュリティプロトコル](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver)」を参照してください。 *Amazon SES *