翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Simple Notification Service コントロール
これらのコントロールは Amazon SNS リソースに関連しています。
これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS
重要
Security Hub は 2024 年 4 月にこのコントロールを AWS Foundational Security Best Practices 標準から廃止しましたが、NIST SP 800-53 Rev. 5 標準にまだ含まれています。詳細については、「Security Hub コントロールの変更ログ」を参照してください。
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest
重要度: 中
リソースタイプ: AWS::SNS::Topic
AWS Config ルール : sns-encrypted-kms
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon SNS トピックが AWS Key Management Service () で管理されるキーを使用して保管時に暗号化されているかどうかをチェックしますAWS KMS。SNS トピックがサーバー側の暗号化 (SSE) に KMS キーを使用しない場合、コントロールは失敗します。デフォルトでは、SNS はディスク暗号化を使用してメッセージとファイルを保存します。このコントロールに合格するには、代わりに暗号化に KMS キーを使用する必要があります。これにより、セキュリティレイヤーが追加され、アクセスコントロールの柔軟性が向上します。
保管中のデータを暗号化すると、ディスクに保存されているデータが、 に対して認証されていないユーザーによってアクセスされるリスクが軽減されます AWS。データを読み取り前に復号化するには、API アクセス許可が必要です。セキュリティを強化するために、SNS トピックを KMS キーで暗号化することをお勧めします。
修正
SNS トピックの SSE を有効にするには、Amazon SNS トピックのサーバー側の暗号化 (SSE) を有効にする」を参照してください。 SSE を使用する前に、トピックの暗号化とメッセージの暗号化と復号を許可する AWS KMS key ポリシーも設定する必要があります。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の AWS KMS 「アクセス許可の設定」を参照してください。
[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります
重要
Security Hub は 2024 年 4 月にこのコントロールを廃止しました。詳細については、「Security Hub コントロールの変更ログ」を参照してください。
関連する要件: NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ: AWS::SNS::Topic
AWS Config ルール : sns-topic-message-delivery-notification-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、エンドポイントの Amazon SNS トピックに送信される通知メッセージの配信ステータスで、ログ記録が有効になっているかどうかをチェックします。メッセージの配信ステータス通知が有効になっていない場合、このコントロールは失敗します。
ログ記録は、サービスの信頼性、可用性、パフォーマンスを維持するための重要な要素です。メッセージの配信ステータスをログ記録することで、以下のようなオペレーション上のインサイトを得ることができます。
メッセージが Amazon SNS エンドポイントに配信されたかどうかを知ることができます。
Amazon SNS エンドポイントから Amazon SNS に送信された応答を識別します。
メッセージの滞留時間 (メッセージの発行から Amazon SNS エンドポイントに渡されるまでの時間) を決定する。
修正
トピックの配信ステータスロギングを設定する方法については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS メッセージ配信ステータス」を参照してください。
[SNS.3] SNS トピックにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ: AWS::SNS::Topic
AWS Config ルール: tagged-sns-topic (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon SNS トピックにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。トピックにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トピックにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
SNS トピックにタグを追加するには、Amazon SNS トピックタグの設定」を参照してください。
