翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Step Functions の Security Hub CSPM コントロール
これらの AWS Security Hub CSPM コントロールは、 AWS Step Functions サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります
**関連する要件:** PCI DSS v4.0.1/10.4.2
**カテゴリ:** 識別 > ログ記録
**重要度:** 中
**リソースタイプ :** `AWS::StepFunctions::StateMachine`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `logLevel` | 最小ログ記録レベル | 列挙型 | `ALL, ERROR, FATAL` | デフォルト値なし |
このコントロールは、 AWS Step Functions ステートマシンでログ記録が有効になっているかどうかをチェックします。ステートマシンでログ記録が有効になっていない場合、コントロールは失敗します。`logLevel` パラメータにカスタム値を指定したときは、ステートマシンで指定されたログ記録レベルがオンになっている場合にのみコントロールが成功します。
モニタリングは、Step Functions の信頼性、可用性、パフォーマンスを維持するのに役立ちます。マルチポイント障害をより簡単にデバッグできるように、 AWS のサービス 使用する からモニタリングデータを収集する必要があります。Step Functions のステートマシンにログ記録の設定を定義しておくと、Amazon CloudWatch Logs で実行履歴と結果を追跡できます。オプションで、エラーまたは致命的なイベントのみを追跡できます。
### 修正
Step Functions ステートマシンのログ記録を有効にするには、「*AWS Step Functions デベロッパーガイド*」の「[ログ記録の設定](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure)」を参照してください。
## [StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::StepFunctions::Activity`
**AWS Config rule:**`tagged-stepfunctions-activity` (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、 AWS Step Functions アクティビティにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。アクティビティにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、アクティビティにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
**注記**
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。
### 修正
Step Functions アクティビティにタグを追加するには、「*AWS Step Functions デベロッパーガイド*」の「[Step Functions のタグ付け](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html)」を参照してください。