기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon SQS에 대한 Security Hub CSPM 제어
이러한 AWS Security Hub CSPM 제어는 Amazon Simple Queue Service(Amazon SQS) 서비스 및 리소스를 평가합니다. 컨트롤을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 [리전별 제어 기능 사용 가능 여부](securityhub-regions.md#securityhub-regions-control-support) 단원을 참조하십시오.
## [SQS.1] Amazon SQS 대기열은 저장 시 암호화되어야 합니다.
**관련 요구 사항:** NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
**범주:** 보호 > 데이터 보호 > 저장 데이터 암호화
**심각도:** 중간
**리소스 유형:** `AWS::SQS::Queue`
**AWS Config 규칙:** `sqs-queue-encrypted` (사용자 지정 Security Hub CSPM 규칙)
**스케줄 유형:** 변경이 트리거됨
**파라미터:** 없음
이 제어는 Amazon SQS 대기열이 저장 시 암호화되었는지 여부를 확인합니다. 대기열이 SQS 관리형 키(SSE-SQS) 또는 AWS Key Management Service () 키(SSE-KMS AWS KMS)로 암호화되지 않으면 제어가 실패합니다.
저장 데이터를 암호화하면 권한이 없는 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. 서버 측 암호화(SSE)는 SQS 관리형 암호화 키(SSE-SQS) 또는 AWS KMS 키(SSE-KMS)를 사용하여 SQS 대기열의 메시지 내용을 보호합니다.
### 문제 해결
SQS 대기열에 대한 SSE를 구성하려면 *Amazon Simple Queue Service 개발자 안내서*의 [대기열에 대한 서버 측 암호화(SSE) 구성(콘솔)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html)을 참조하세요.
## [SQS.2] SQS 대기열에 태그를 지정해야 합니다.
**범주:** 식별 > 인벤토리 > 태그 지정
**심각도: ** 낮음
**리소스 유형:** `AWS::SQS::Queue`
**AWS Config 규칙:** `tagged-sqs-queue` (사용자 지정 Security Hub CSPM 규칙)
**스케줄 유형:** 변경이 트리거됨
**파라미터:**
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. | StringList(최대 6개 항목) | [AWS 요구](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 사항을 충족하는 1\$16개의 태그 키. | No default value |
이 제어는 Amazon SQS 대기열에 파라미터 `requiredTagKeys`에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 대기열에 태그 키가 없거나 파라미터 `requiredTagKeys`에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 `requiredTagKeys`이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 대기열에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 `aws:`로 시작하는 시스템 태그는 무시됩니다.
태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [ABAC란 무엇입니까 AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요.
**참고**
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 추가하지 않습니다. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 태그 지정 모범 사례는의 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)을 참조하세요*AWS 일반 참조*.
### 문제 해결
Amazon SQS 콘솔을 사용하여 기존 대기열에 태그를 추가하려면 *Amazon Simple Queue Service 개발자 안내서*의 [ Amazon SQS 대기열에 대한 비용 할당 태그 구성(콘솔)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html)을 참조하세요.
## [SQS.3] SQS 대기열 액세스 정책은 퍼블릭 액세스를 허용해서는 안 됩니다
**범주:** 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스
**심각도:** 심각
**리소스 유형:** `AWS::SQS::Queue`
**AWS Config 규칙:** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)
**스케줄 유형:** 변경이 트리거됨
**파라미터:** 없음
이 제어는 Amazon SQS 액세스 정책이 SQS 대기열에 대한 퍼블릭 액세스를 허용하는지 확인합니다. SQS 액세스 정책에서 대기열에 대한 퍼블릭 액세스를 허용하는 경우 이 제어가 실패합니다.
Amazon SQS 액세스 정책은 SQS 대기열에 대한 퍼블릭 액세스를 허용하여 익명 사용자 또는 인증된 AWS IAM 자격 증명이 대기열에 액세스하도록 허용할 수 있습니다. SQS 액세스 정책은 일반적으로 정책의 `Principal` 요소에 와일드카드 문자(`*`)를 지정하거나 대기열에 대한 액세스를 제한하는 적절한 조건을 사용하지 않거나 둘 다 사용하여 이러한 액세스를 제공합니다. SQS 액세스 정책이 퍼블릭 액세스를 허용하는 경우 서드 파티가 대기열에서 메시지 수신, 대기열로 메시지 전송, 대기열 액세스 정책 수정과 같은 태스크를 수행할 수 있습니다. 이로 인해 위협 행위자에 의한 데이터 유출, 서비스 거부, 대기열에 메시지 삽입과 같은 이벤트가 발생할 수 있습니다.
**참고**
이 제어는 와일드카드 문자 또는 변수를 사용하는 정책 조건을 평가하지 않습니다. `PASSED` 조사 결과를 생성하려면 대기열에 대한 Amazon SQS 액세스 정책의 조건이 고정 값, 즉 와일드카드 문자 또는 정책 변수를 포함하지 않는 값만 사용해야 합니다. 정책 변수에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [변수 및 태그](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)를 참조하세요.
### 문제 해결
SQS 대기열에 대한 SQS 액세스 정책을 구성하는 방법에 대한 자세한 내용은 *Amazon Simple Queue Service 개발자 안내서*의 [Amazon SQS 액세스 정책 언어로 사용자 지정 정책 사용](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html)을 참조하세요.