[AppSync.1] AWS AppSync API os caches devem ser criptografados em repouso [AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado [AppSync.4] AWS AppSync APIs GraphQL deve ser marcado [AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API [AppSync.6] AWS AppSync API os caches devem ser criptografados em trânsito

Controles do Security Hub para AWS AppSync

Esses controles do Security Hub avaliam o AWS AppSync serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[AppSync.1] AWS AppSync API os caches devem ser criptografados em repouso

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::AppSync::GraphQLApi

Regra do AWS Config : appsync-cache-ct-encryption-at-rest

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um AWS AppSync API cache está criptografado em repouso. O controle falhará se o API cache não estiver criptografado em repouso.

Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.

Correção

Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para seu AWS AppSync API. Em vez disso, você deve excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte Cache encryption no AWS AppSync Developer Guide.

[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado

Requisitos relacionados: PCI DSS v4.0.1/10.4.2

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::AppSync::GraphQLApi

Regra do AWS Config : appsync-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`fieldLoggingLevel`	Nível de registro em log de campo	Enum	`ERROR`, `ALL`, `INFO`, `DEBUG`	`No default value`

Esse controle verifica se um AWS AppSync API tem o registro em nível de campo ativado. O controle falhará se o nível do log do resolvedor de campo estiver definido como Nenhum. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub produzirá uma descoberta aprovada se o nível de log do resolvedor de campo for ERROR ou ALL.

É possível usar o registro em log e as métricas para identificar, solucionar problemas e otimizar as consultas do GraphQL. Ativar o registro no AWS AppSync GraphQL ajuda você a obter informações detalhadas sobre API solicitações e respostas, identificar e responder a problemas e cumprir os requisitos regulatórios.

Correção

Para ativar o registro em log AWS AppSync, consulte Instalação e configuração no Guia do AWS AppSync desenvolvedor.

[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::AppSync::GraphQLApi

Regra AWS Config : tagged-appsync-graphqlapi (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um AWS AppSync GraphQL API tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o GraphQL API não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro. requiredTagKeys Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o GraphQL API não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um AWS AppSync GraphQLAPI, consulte TagResourcena AWS AppSync APIReferência.

[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API

Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha

Severidade: alta

Tipo de recurso: AWS::AppSync::GraphQLApi

Regra do AWS Config : appsync-authorization-check

Tipo de programação: acionado por alterações

Parâmetros:

AllowedAuthorizationTypes: AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS (não personalizável)

Esse controle verifica se seu aplicativo usa uma API chave para interagir com um AWS AppSync GraphQLAPI. O controle falhará se um AWS AppSync GraphQL API for autenticado com uma chave. API

Uma API chave é um valor codificado em seu aplicativo que é gerado pelo AWS AppSync serviço quando você cria um endpoint GraphQL não autenticado. Se essa API chave for comprometida, seu endpoint ficará vulnerável ao acesso não intencional. A menos que você ofereça suporte a um aplicativo ou site acessível ao público, não recomendamos o uso de uma API chave para autenticação.

Correção

Para definir uma opção de autorização para seu AWS AppSync GraphQLAPI, consulte Autorização e autenticação no Guia do AWS AppSync desenvolvedor.

[AppSync.6] AWS AppSync API os caches devem ser criptografados em trânsito

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::AppSync::ApiCache

Regra do AWS Config : appsync-cache-ct-encryption-in-transit

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um AWS AppSync API cache está criptografado em trânsito. O controle falhará se o API cache não estiver criptografado em trânsito.

Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.

Correção

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS App Runner controles

Controles do Amazon Athena