As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para AWS CloudFormation

Esses controles do Security Hub avaliam o AWS CloudFormation serviços e recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.

[CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service () SNS

Requisitos relacionados: NIST .800-53.r5 SI-4 (12), .800-53.r5 SI-4 (5) NIST

Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos

Severidade: baixa

Tipo de recurso: AWS::CloudFormation::Stack

AWS Config regra: cloudformation-stack-notification-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma notificação do Amazon Simple Notification Service está integrada a um AWS CloudFormation pilha. O controle falhará em uma CloudFormation pilha se nenhuma SNS notificação estiver associada a ela.

Configurar uma SNS notificação com sua CloudFormation pilha ajuda a notificar imediatamente as partes interessadas sobre quaisquer eventos ou alterações que ocorram com a pilha.

Correção

Para integrar uma CloudFormation pilha e um SNS tópico, consulte Atualização de pilhas diretamente no AWS CloudFormation Guia do usuário.

[CloudFormation.2] as CloudFormation pilhas devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::CloudFormation::Stack

AWS Config regra: tagged-cloudformation-stack (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um AWS CloudFormation stack tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a pilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a pilha não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.

Correção

Para adicionar tags a uma CloudFormation pilha, veja CreateStackna AWS CloudFormation APIReferência.