As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para Amazon CloudFront
Esses AWS Security Hub CSPM controles avaliam o CloudFront serviço e os recursos da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
**Requisitos relacionados:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon com origens do S3 está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a CloudFront distribuição usar origens do S3 e não tiver um objeto raiz padrão configurado. Esse controle não se aplica às CloudFront distribuições que usam origens personalizadas.
Às vezes, um usuário pode solicitar a URL raiz da distribuição em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo da sua distribuição da web.
### Correção
Para configurar um objeto raiz padrão para uma CloudFront distribuição, consulte [Como especificar um objeto raiz padrão](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) no *Amazon CloudFront Developer Guide*.
## [CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon exige que os espectadores usem HTTPS diretamente ou se ela usa redirecionamento. O controle falhará se `ViewerProtocolPolicy` estiver definido como `allow-all` para `defaultCacheBehavior` ou para`cacheBehaviors`.
O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS.
### Correção
Para criptografar uma CloudFront distribuição em trânsito, consulte [Exigir HTTPS para comunicação entre espectadores e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada com um grupo de origem que tem duas ou mais origens.
CloudFront o failover de origem pode aumentar a disponibilidade. Se a origem primária estiver indisponível ou retornar códigos de status de resposta HTTP específicos que indiquem falha, o failover automaticamente alternará para a origem secundária.
### Correção
Para configurar o failover de origem para uma CloudFront distribuição, consulte [Criação de um grupo de origem](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) no *Amazon CloudFront Developer Guide*.
## [CloudFront.5] CloudFront as distribuições devem ter o registro ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro em log de acesso não estiver habilitado para uma distribuição. Esse controle avalia apenas se o registro em log padrão (legado) está habilitado para uma distribuição.
CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Para obter mais informações sobre a análise de registros de acesso, consulte [Consultar CloudFront registros da Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) no Guia do *usuário do Amazon Athena*.
### Correção
Para configurar o registro padrão (legado) para uma CloudFront distribuição, consulte [Configurar o registro padrão (legado)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
**Categoria:** Proteger > Serviços de proteção
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições estão associadas ao AWS WAF Classic ou à AWS WAF web ACLs. O controle falhará se a distribuição não estiver associada a uma ACL da web.
AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Isso permite configurar um conjunto de regras chamado de lista de controle de acesso à web (ACL da web) que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que sua CloudFront distribuição esteja associada a uma ACL AWS WAF da web para ajudar a protegê-la contra ataques maliciosos.
### Correção
Para associar uma ACL AWS WAF da web a uma CloudFront distribuição, consulte [Usando AWS WAF para controlar o acesso ao seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-8
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições estão usando o SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificado padrão.
Os personalizados SSL/TLS permitem que seus usuários acessem o conteúdo usando nomes de domínio alternativos. Você pode armazenar certificados personalizados no AWS Certificate Manager (recomendado) ou no IAM.
### Correção
Para adicionar um nome de domínio alternativo para uma CloudFront distribuição usando um certificado SSL/TLS personalizado, consulte [Adicionar um nome de domínio alternativo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) no *Amazon CloudFront * Developer Guide.
## [CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão usando um SSL/TLS certificado personalizado e estão configuradas para usar o SNI para atender solicitações HTTPS. Esse controle falhará se um SSL/TLS certificado personalizado estiver associado, mas o método de SSL/TLS suporte for um endereço IP dedicado.
A Indicação de nome de servidor (SNI) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar CloudFront para atender solicitações HTTPS usando SNI, CloudFront associe seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP do seu nome de domínio é determinado durante a negociação do SSL/TLS handshake; o endereço IP não é dedicado à sua distribuição.
### Correção
Para configurar uma CloudFront distribuição para usar o SNI para atender às solicitações HTTPS, consulte Como [usar o SNI para atender às solicitações HTTPS (funciona para a maioria dos clientes)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) no Guia do CloudFront desenvolvedor. Para obter informações sobre certificados SSL personalizados, consulte [Requisitos para usar SSL/TLS certificados com CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html).
## [CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão criptografando o tráfego para origens personalizadas. Esse controle falha em uma CloudFront distribuição cuja política de protocolo de origem permite “somente http”. Esse controle também falhará se a política do protocolo de origem da distribuição for “match-viewer”, enquanto a política do protocolo do visualizador for “allow-all”.
O HTTPS (TLS) pode ser usado para ajudar a evitar a espionagem ou a manipulação do tráfego da rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas.
### Correção
Para atualizar a Política do Protocolo de Origem para exigir criptografia para uma CloudFront conexão, consulte [Exigindo HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas
**Requisitos relacionados:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4),, NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão usando protocolos SSL obsoletos para comunicação HTTPS entre pontos de presença e suas CloudFront origens personalizadas. Esse controle falhará se uma CloudFront distribuição tiver um `CustomOriginConfig` where `OriginSslProtocols` includes`SSLv3`.
Em 2015, a Internet Engineering Task Force (IETF) anunciou oficialmente que o SSL 3.0 deveria ser descontinuado devido ao protocolo não ser suficientemente seguro. É recomendável usar TLSv1 .2 ou posterior para comunicação HTTPS com suas origens personalizadas.
### Correção
Para atualizar os protocolos SSL de origem para uma CloudFront distribuição, consulte [Exigir HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
**Requisitos relacionados:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), PCI DSS v4.0.1/2.2.6
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** alta
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se CloudFront as distribuições da Amazon estão apontando para origens inexistentes do Amazon S3. O controle falhará em uma CloudFront distribuição se a origem estiver configurada para apontar para um bucket inexistente. Esse controle se aplica somente às CloudFront distribuições em que um bucket do S3 sem hospedagem estática do site é a origem do S3.
Quando uma CloudFront distribuição em sua conta é configurada para apontar para um bucket inexistente, um terceiro mal-intencionado pode criar o bucket referenciado e veicular seu próprio conteúdo por meio de sua distribuição. Recomendamos verificar todas as origens, independentemente do comportamento de roteamento, para garantir que suas distribuições estejam apontando para as origens apropriadas.
### Correção
Para modificar uma CloudFront distribuição para apontar para uma nova origem, consulte [Atualização de uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) no *Amazon CloudFront Developer Guide*.
## [CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon com origem no Amazon S3 tem controle de acesso de origem (OAC) configurado. O controle falhará se o OAC não estiver configurado para a CloudFront distribuição.
Ao usar um bucket do S3 como origem para sua CloudFront distribuição, você pode habilitar o OAC. Isso permite o acesso ao conteúdo no bucket somente por meio da CloudFront distribuição especificada e proíbe o acesso diretamente do bucket ou de outra distribuição. Embora CloudFront ofereça suporte ao Origin Access Identity (OAI), o OAC oferece funcionalidades adicionais e as distribuições que usam o OAI podem migrar para o OAC. Embora o OAI forneça uma maneira segura de acessar as origens do S3, ele tem limitações, como a falta de suporte para configurações de políticas granulares e para HTTP/HTTPS solicitações que usam o método POST Regiões da AWS que exigem o AWS Signature Version 4 (SigV4). O OAI também não oferece suporte à criptografia com AWS Key Management Service. O OAC é baseado em uma prática AWS recomendada de uso de entidades de serviço do IAM para autenticar com origens do S3.
### Correção
*Para configurar o OAC para uma CloudFront distribuição com origens do S3, consulte [Restringir o acesso a uma origem do Amazon S3 no Amazon Developer Guide](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html). CloudFront *
## [CloudFront.14] as CloudFront distribuições devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**AWS Config regra:** `tagged-cloudfront-distribution` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma CloudFront distribuição da Amazon tem tags com as chaves específicas definidas no parâmetro`requiredTagKeys`. O controle falhará se a distribuição não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a distribuição não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte [Tagging your AWS resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) na *Referência geral da AWS*.
### Correção
Para adicionar tags a uma CloudFront distribuição, consulte Como [marcar CloudFront distribuições da Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) no *Amazon CloudFront Developer* Guide.
## [CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:** `securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (não personalizável)
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar uma política de segurança TLS recomendada. O controle falhará se a CloudFront distribuição não estiver configurada para usar uma política de segurança TLS recomendada.
Se você configurar uma CloudFront distribuição da Amazon para exigir que os espectadores usem HTTPS para acessar o conteúdo, você precisará escolher uma política de segurança e especificar a versão mínima do SSL/TLS protocolo a ser usada. Isso determina qual versão do protocolo CloudFront usa para se comunicar com os espectadores e as cifras CloudFront usadas para criptografar as comunicações. Recomendamos usar a política de segurança mais recente que CloudFront fornece. Isso garante o CloudFront uso dos pacotes de criptografia mais recentes para criptografar dados em trânsito entre um visualizador e uma distribuição. CloudFront
**nota**
Esse controle gera descobertas somente para CloudFront distribuições que estão configuradas para usar certificados SSL personalizados e não estão configuradas para oferecer suporte a clientes legados.
### Correção
Para obter informações sobre como configurar a política de segurança de uma CloudFront distribuição, consulte [Atualizar uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) no *Amazon CloudFront Developer Guide*. Ao configurar a política de segurança de uma distribuição, escolha a política de segurança mais recente.
## [CloudFront.16] CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon com uma URL de AWS Lambda função como origem tem o controle de acesso de origem (OAC) ativado. O controle falhará se a CloudFront distribuição tiver uma URL da função Lambda como origem e o OAC não estiver habilitado.
Um URL de AWS Lambda função é um endpoint HTTPS dedicado para uma função Lambda. Se o URL de uma função Lambda for a origem de uma CloudFront distribuição, o URL da função deverá estar acessível ao público. Portanto, como prática recomendada de segurança, é necessário criar um OAC e adicioná-lo ao URL da função do Lambda em uma distribuição. O OAC usa entidades de serviço do IAM para autenticar solicitações entre CloudFront e o URL da função. Ele também suporta o uso de políticas baseadas em recursos para permitir a invocação de uma função somente se uma solicitação for em nome de uma CloudFront distribuição especificada na política.
### Correção
*Para obter informações sobre como configurar o OAC para uma CloudFront distribuição da Amazon que usa uma URL de função Lambda como origem, consulte [Restringir o acesso a uma origem de URL de AWS Lambda função no](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) Amazon Developer Guide. CloudFront *
## [CloudFront.17] CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs assinaturas e cookies
**Categoria:** Proteger > Gerenciamento de acesso seguro > Controle de acesso
**Gravidade:** média
**Tipo de recurso:** `AWS::CloudFront::Distribution`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para usar grupos de chaves confiáveis para URL assinado ou autenticação de cookie assinada. O controle falhará se a CloudFront distribuição usar assinantes confiáveis ou se a distribuição não tiver nenhuma autenticação configurada.
Para usar cookies assinados URLs ou assinados, você precisa de um signatário. Um signatário é um grupo de chaves confiável que você cria ou uma AWS conta que contém um par de CloudFront chaves. CloudFront Recomendamos que você use grupos de chaves confiáveis porque, com grupos de CloudFront chaves, você não precisa usar o usuário raiz da AWS conta para gerenciar as chaves públicas de cookies CloudFront assinados URLs e assinados.
**nota**
Esse controle não avalia distribuições multilocatárias. CloudFront `(connectionMode=tenant-only)`
### Correção
Para obter informações sobre o uso de grupos de chaves confiáveis com URLs assinaturas e cookies, consulte Como [usar grupos de chaves confiáveis](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) no *Amazon CloudFront Developer Guide*.