As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para CloudFormation
Esses controles CSPM do Security Hub avaliam o AWS CloudFormation serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service (SNS)
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)
**Categoria:** Detectar > Serviços de detecção > Monitoramento de aplicativos
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma notificação do Amazon Simple Notification Service está integrada a uma pilha do CloudFormation . O controle falhará em uma CloudFormation pilha se nenhuma notificação do SNS estiver associada a ela.
Configurar uma notificação do SNS com sua CloudFormation pilha ajuda a notificar imediatamente as partes interessadas sobre quaisquer eventos ou alterações que ocorram com a pilha.
### Correção
*Para integrar uma CloudFormation pilha e um tópico do SNS, consulte [Atualização de pilhas diretamente no Guia](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) do AWS CloudFormation usuário.*
## [CloudFormation.2] as CloudFormation pilhas devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**AWS Config regra:** `tagged-cloudformation-stack` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma AWS CloudFormation pilha tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a pilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a pilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a uma CloudFormation pilha, consulte [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)na *Referência da AWS CloudFormation API*.
## [CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada
**Categoria:** Proteger > Proteção de dados > Proteção contra exclusão de dados
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS CloudFormation pilha tem a proteção de encerramento ativada. O controle falhará se a proteção de terminação não estiver ativada em uma CloudFormation pilha.
CloudFormation ajuda a gerenciar recursos relacionados como uma única unidade chamada pilha. É possível impedir que uma pilha seja excluída acidentalmente ativando a proteção contra encerramento na pilha. Se um usuário tentar excluir uma pilha com proteção contra encerramento ativada, a exclusão falhará e a pilha, incluindo o status dela, permanecerá inalterada. Você pode definir a proteção contra encerramento em uma pilha com qualquer status, exceto `DELETE_IN_PROGRESS` ou `DELETE_COMPLETE`.
**nota**
Quando a proteção contra terminação é habilitada ou desabilitada em uma pilha, a mesma opção se estende a todas as pilhas aninhadas pertencentes a ela. Você não pode ativar ou desativar a proteção contra encerramento diretamente em uma pilha aninhada. Você não pode excluir diretamente uma pilha aninhada pertencente a uma pilha que tenha a proteção de encerramento ativada. Se NESTED for exibido ao lado do nome da pilha, a pilha é aninhada. Só é possível alterar a proteção contra encerramento na pilha raiz à qual a pilha aninhada pertence.
### Correção
Para ativar a proteção contra encerramento em uma CloudFormation pilha, consulte [Proteger CloudFormation pilhas contra exclusão](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) no Guia do *AWS CloudFormation usuário*.
## [CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
**Categoria:** Detectar > Gerenciamento de acesso seguro
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFormation::Stack`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS CloudFormation pilha tem uma função de serviço associada a ela. O controle falhará em uma CloudFormation pilha se nenhuma função de serviço estiver associada a ela.
Funções de execução de StackSets uso gerenciado por serviços por meio da integração de acesso confiável do AWS Organizations. O controle também gera uma descoberta FALHA para uma AWS CloudFormation pilha criada pelo serviço gerenciado StackSets porque não há nenhuma função de serviço associada a ela. Devido à forma como o serviço gerenciado se StackSets autentica, o `roleARN` campo não pode ser preenchido para essas pilhas.
Usar funções de serviço com CloudFormation pilhas ajuda a implementar o acesso com privilégios mínimos, separando as permissões entre o usuário que creates/updates acumula e as permissões necessárias para os recursos. CloudFormation create/update Isso reduz o risco de escalonamento de privilégios e ajuda a manter os limites de segurança entre as diferentes funções operacionais.
**nota**
Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha podem usar esse perfil, independentemente de terem a permissão `iam:PassRole` ou não. Se o perfil inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que o perfil conceda o privilégio mínimo.
### Correção
Para associar uma função de serviço a uma CloudFormation pilha, consulte a [função CloudFormation de serviço](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) no *Guia do AWS CloudFormation usuário*.