As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub paraAWS AppSync
Esses controles CSPM do Security Hub avaliam o AWS AppSync serviço e os recursos.
Esses controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[AppSync.1]AWS AppSyncOs caches de API devem ser criptografados em repouso
Importante
O Security Hub CSPM retirou esse controle em 9 de março de 2026. Para obter mais informações, consulteLog de alterações dos controles do CSPM do Security Hub. AWS AppSyncagora fornece criptografia padrão em todos os caches de API atuais e futuros.
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Gravidade: média
Tipo de recurso: AWS::AppSync::GraphQLApi
Regra do AWS Config: appsync-cache-ct-encryption-at-rest
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cache de AWS AppSync API está criptografado em repouso. O controle falhará se o cache de AP não for criptografado em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
Correção
Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte Cache encryption no AWS AppSync Developer Guide.
[AppSync.2]AWS AppSyncdeve ter o registro em nível de campo ativado
Requisitos relacionados: PCI DSS v4.0. 1/104.2
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::AppSync::GraphQLApi
Regra do AWS Config: appsync-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
|
|
Nível de registro em log de campo |
Enum |
|
|
Esse controle verifica se uma AWS AppSync API tem o registro em nível de campo ativado. O controle falhará se o nível do log do resolvedor de campo estiver definido como Nenhum. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub CSPM produzirá uma descoberta aprovada se o nível do log do resolvedor de campo for ouERROR. ALL
É possível usar o registro em log e as métricas para identificar, solucionar problemas e otimizar as consultas do GraphQL. Ativar o registro no AWS AppSync GraphQL ajuda você a obter informações detalhadas sobre solicitações e respostas de API, identificar e responder a problemas e cumprir os requisitos regulatórios.
Correção
Para ativar o registroAWS AppSync, consulte Instalação e configuração no Guia do AWS AppSync desenvolvedor.
[AppSync.4]AWS AppSyncAs APIs do GraphQL devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::AppSync::GraphQLApi
AWS Configregra: tagged-appsync-graphqlapi (regra CSPM personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma API do AWS AppSync GraphQL tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se a API do GraphQL não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a API do GraphQL não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitosServiços da AWS, inclusiveAWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma API do AWS AppSync GraphQL, consulte TagResourcena Referência da AWS AppSyncAPI.
[AppSync.5]AWS AppSyncAs APIs do GraphQL não devem ser autenticadas com chaves de API
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Gravidade: alta
Tipo de recurso: AWS::AppSync::GraphQLApi
Regra do AWS Config: appsync-authorization-check
Tipo de programação: acionado por alterações
Parâmetros:
AllowedAuthorizationTypes:AWS_LAMBDA,AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS(não personalizável)
Esse controle verifica se seu aplicativo usa uma chave de API para interagir com uma API do AWS AppSync GraphQL. O controle falhará se uma API do AWS AppSync GraphQL for autenticada com uma chave de API.
Uma chave de API é um valor codificado em seu aplicativo que é gerado pelo AWS AppSync serviço quando você cria um endpoint GraphQL não autenticado. Se essa chave de API for comprometida, seu endpoint ficará vulnerável ao acesso não intencional. A menos que você ofereça suporte a um aplicativo ou site acessível ao público, não recomendamos o uso de uma chave de API para autenticação.
Correção
Para definir uma opção de autorização para sua API do AWS AppSync GraphQL, consulte Autorização e autenticação no Guia do AWS AppSyncdesenvolvedor.
[AppSync.6]AWS AppSyncOs caches de API devem ser criptografados em trânsito
Importante
O Security Hub CSPM retirou esse controle em 9 de março de 2026. Para obter mais informações, consulteLog de alterações dos controles do CSPM do Security Hub. AWS AppSyncagora fornece criptografia padrão em todos os caches de API atuais e futuros.
Categoria: Proteger > Proteção de dados > Criptografia de dados em trânsito
Gravidade: média
Tipo de recurso: AWS::AppSync::ApiCache
Regra do AWS Config: appsync-cache-ct-encryption-in-transit
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cache de AWS AppSync API está criptografado em trânsito. O controle falhará se o cache de AP não for criptografado em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
Correção
Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte Cache encryption no AWS AppSync Developer Guide.