翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Step Functions の Security Hub コントロール
これらの AWS Security Hub コントロールは、 AWS Step Functions サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります
関連する要件: PCI DSS v4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::StepFunctions::StateMachine
AWS Config ルール : step-functions-state-machine-logging-enabled
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
最小ログ記録レベル |
列挙型 |
|
デフォルト値なし |
このコントロールは、 AWS Step Functions ステートマシンでログ記録が有効になっているかどうかをチェックします。ステートマシンでログ記録が有効になっていない場合、コントロールは失敗します。logLevel パラメータにカスタム値を指定したときは、ステートマシンで指定されたログ記録レベルがオンになっている場合にのみコントロールが成功します。
モニタリングは、Step Functions の信頼性、可用性、パフォーマンスを維持するのに役立ちます。マルチポイント障害をより簡単にデバッグできるように、 AWS のサービス 使用する からモニタリングデータを収集する必要があります。Step Functions ステートマシンのログ記録設定を定義しておくと、Amazon CloudWatch Logs で実行履歴と結果を追跡できます。オプションで、エラーまたは致命的なイベントのみを追跡できます。
修正
Step Functions ステートマシンのログ記録を有効にするには、「AWS Step Functions デベロッパーガイド」の「ログ記録の設定」を参照してください。
〔StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::StepFunctions::Activity
AWS Config ルール:tagged-stepfunctions-activity (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、 AWS Step Functions アクティビティにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。アクティビティにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アクティビティにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Step Functions アクティビティにタグを追加するには、「AWS Step Functions デベロッパーガイド」の「Step Functions のタグ付け」を参照してください。
