翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon SQS の Security Hub コントロール
これらの AWS Security Hub コントロールは、Amazon Simple Queue Service (Amazon SQS) サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ : AWS::SQS::Queue
AWS Config ルール: sqs-queue-encrypted (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon SQS キューが保管中に暗号化されるかどうかをチェックします。キューが SQS マネージドキー (SSE-SQS) または AWS Key Management Service () キー (SSE-KMS AWS KMS) で暗号化されていない場合、コントロールは失敗します。
保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存されているデータにアクセスするリスクが低減されます。サーバー側の暗号化 (SSE) は、SQS で管理された暗号化キー (SSE-SQS) または AWS KMS キー (SSE-KMS) を使用して SQS キュー内のメッセージの内容を保護します。
修正
SQS キューの SSE を設定するには、「Amazon Simple Queue Service デベロッパーガイド」の「キューのサーバー側の暗号化 (SSE) の設定 (コンソール)」を参照してください。
[SQS.2] SQS キューにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::SQS::Queue
AWS Config ルール: tagged-sqs-queue (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon SQS キューにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。キューにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、キューにキーがタグ付けされていない場合に失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とは AWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Amazon SQS コンソールを使用して既存のキューにタグを追加するには、「Amazon Simple Queue Service デベロッパーガイド」のAmazon SQSキュー (コンソール) のコスト配分タグの設定」を参照してください。
[SQS.3] SQS キューアクセスポリシーではパブリックアクセスを許可しないでください
カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース
重要度: 高
リソースタイプ : AWS::SQS::Queue
AWS Config ルール : sqs-queue-no-public-access
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon SQS アクセスポリシーが SQS キューへのパブリックアクセスを許可するかどうかをチェックします。SQS アクセスポリシーがキューへのパブリックアクセスを許可すると、コントロールは失敗します。
Amazon SQS アクセスポリシーは、SQS キューへのパブリックアクセスを許可できます。これにより、匿名ユーザーまたは認証された IAM ID AWS がキューにアクセスできるようになる場合があります。SQS アクセスポリシーでは、通常、ポリシーの Principal要素でワイルドカード文字 (*) を指定し、適切な条件を使用してキューへのアクセスを制限しないか、またはその両方を行うことで、このアクセスを提供します。SQS アクセスポリシーでパブリックアクセスが許可されている場合、サードパーティーはキューからのメッセージの受信、キューへのメッセージの送信、キューのアクセスポリシーの変更などのタスクを実行できる場合があります。これにより、データの流出、サービス拒否、脅威アクターによるキューへのメッセージの挿入などのイベントが発生する可能性があります。
修正
SQS キューの SQS アクセスポリシーの設定については、Amazon Simple Queue Service デベロッパーガイドのAmazon SQS アクセスポリシー言語を使用したカスタムポリシーの使用」を参照してください。
