[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos [IAM.2] IAM os usuários não devem ter IAM políticas anexadas [IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos [IAM.4] a chave de acesso do usuário IAM root não deve existir [IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console [IAM.6] O hardware MFA deve estar habilitado para o usuário root [IAM.7] As políticas de senha para IAM usuários devem ter configurações fortes [IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas [IAM.9] MFA deve ser habilitado para o usuário root [IAM.10] As políticas de senha para IAM usuários devem ter durações fortes AWS Config [IAM.11] Certifique-se de que a política de IAM senha exija pelo menos uma letra maiúscula [IAM.12] Certifique-se de que a política de IAM senha exija pelo menos uma letra minúscula [IAM.13] Certifique-se de que a política de IAM senha exija pelo menos um símbolo [IAM.14] Certifique-se de que a política de IAM senha exija pelo menos um número [IAM.15] Certifique-se de que a política de IAM senha exija um tamanho mínimo de senha de 14 ou mais [IAM.16] Certifique-se de que a política de IAM senha impeça a reutilização de senhas [IAM.17] Certifique-se de que a política de IAM senhas expire as senhas em 90 dias ou menos [IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support [IAM.19] MFA deve ser ativado para todos os usuários IAM [IAM.20] Evite o uso do usuário root [IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços [IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas [IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados [IAM.24] IAM funções devem ser marcadas [IAM.25] IAM usuários devem ser marcados [IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos [IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess [IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado

Controles do Security Hub para IAM

Esses AWS Security Hub controles avaliam o AWS Identity and Access Management (IAM) serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15), (7) NIST.800-53.r5 AC-2,,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: alta

Tipo de recurso: AWS::IAM::Policy

Regra do AWS Config : iam-policy-no-statements-with-admin-access

Tipo de programação: acionado por alterações

Parâmetros:

excludePermissionBoundaryPolicy: true (não personalizável)

Esse controle verifica se a versão padrão das IAM políticas (também conhecida como políticas gerenciadas pelo cliente) tem acesso de administrador ao incluir uma declaração "Effect": "Allow" com "Action": "*" over"Resource": "*". O controle falhará se você tiver IAM políticas com essa declaração.

O controle apenas verifica as políticas gerenciadas pelo cliente que você criou. Ele não verifica políticas em linha e AWS gerenciadas.

IAMas políticas definem um conjunto de privilégios que são concedidos a usuários, grupos ou funções. Seguindo o conselho de segurança padrão, AWS recomenda que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para realizar uma tarefa. Ao fornecer privilégios administrativos completos em vez do conjunto mínimo de permissões que o usuário precisa, você expõe os recursos a ações potencialmente indesejadas.

Em vez de permitir privilégios administrativos completos, determine o que os usuários precisam fazer e crie políticas que permitam que executem apenas aquelas tarefas. É mais seguro começar com um conjunto mínimo de permissões e conceder permissões adicionais conforme necessário. Não comece com permissões que sejam muito flexíveis para depois tentar restringi-las.

Você deve remover IAM as políticas que tenham uma declaração "Effect": "Allow" com "Action": "*" mais de"Resource": "*".

nota

AWS Config deve estar habilitado em todas as regiões nas quais você usa o Security Hub. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

Correção

Para modificar suas IAM políticas para que elas não permitam privilégios administrativos “*” completos, consulte Edição de IAM políticas no Guia do IAM usuário.

[IAM.2] IAM os usuários não devem ter IAM políticas anexadas

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v3.0.0/1.15, Foundations Benchmark v1.2.0/1.16,, CIS AWS (1),, (15), (7), NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (3) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : iam-user-no-policies-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se seus IAM usuários têm políticas anexadas. O controle falhará se seus IAM usuários tiverem políticas anexadas. Em vez disso, IAM os usuários devem herdar permissões de IAM grupos ou assumir uma função.

Por padrão, IAM usuários, grupos e funções não têm acesso aos AWS recursos. IAMas políticas concedem privilégios a usuários, grupos ou funções. Recomendamos que você aplique IAM políticas diretamente aos grupos e funções, mas não aos usuários. A atribuição de privilégios no nível do grupo ou função reduz a complexidade do gerenciamento de acesso à medida que o número de usuários aumenta. Reduzir a complexidade do gerenciamento de acesso pode, por sua vez, reduzir a oportunidade para uma entidade principal inadvertidamente receber ou manter um número excessivo de privilégios.

nota

IAMos usuários criados pelo Amazon Simple Email Service são criados automaticamente usando políticas em linha. O Security Hub isenta automaticamente esses usuários desse controle.

Correção

Para resolver esse problema, crie um IAM grupo e anexe a política ao grupo. Depois, adicione os usuários ao grupo. A política é aplicada a cada usuário no grupo. Para remover uma política vinculada diretamente a um usuário, consulte Adicionar e remover permissões de IAM identidade no Guia do IAM usuário.

[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.14, Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), CIS AWS (3), (15) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : access-keys-rotated

Tipo de programação: Periódico

Parâmetros:

maxAccessKeyAge: 90 (não personalizável)

Esse controle verifica se as chaves de acesso ativas são mudadas em até 90 dias.

É altamente recomendado não gerar e remover todas as chaves de acesso na conta. Em vez disso, a melhor prática recomendada é criar uma ou mais IAM funções ou usar a federação por meio de AWS IAM Identity Center. Você pode usar esses métodos para permitir que seus usuários acessem AWS Management Console AWS CLI e.

Cada abordagem tem os respectivos casos de uso. A federação geralmente é melhor para empresas que têm um diretório central existente ou planejam precisar de mais do que o limite atual de IAM usuários. Os aplicativos executados fora de um AWS ambiente precisam de chaves de acesso para acesso programático aos AWS recursos.

No entanto, se os recursos que precisam de acesso programático forem executados internamente AWS, a melhor prática é usar IAM funções. As funções permitem conceder acesso a recursos sem codificar um ID de chave de acesso e uma chave de acesso secreta na configuração.

Para saber mais sobre como proteger suas chaves de acesso e sua conta, consulte Melhores práticas para gerenciar chaves de AWS acesso no Referência geral da AWS. Veja também a postagem do blog Diretrizes para proteger você Conta da AWS ao usar o acesso programático.

Caso já tenha uma chave de acesso, o Security Hub recomenda mudar as chaves de acesso a cada 90 dias. A mudança de chaves de acesso reduz a chance de uso de uma chave de acesso associada a uma conta comprometida ou encerrada. Isso também garante que os dados não possam ser acessados com uma chave antiga que pode ter sido perdida, decifrada ou roubada. Sempre atualize os aplicativos após mudar as chaves de acesso.

As chaves de acesso consistem em um ID de chave de acesso e em uma chave de acesso secreta. Elas são usadas para assinar as solicitações programáticas que você faz à AWS. Os usuários precisam de suas próprias teclas de acesso para fazer chamadas programáticas a AWS AWS CLI partir do Tools for Windows PowerShell, do AWS SDKs, ou HTTP chamadas diretas usando as API operações individuais Serviços da AWS.

Se sua organização usa AWS IAM Identity Center (IAMIdentity Center), seus usuários podem entrar no Active Directory, em um diretório interno do IAM Identity Center ou em outro provedor de identidade (IdP) conectado ao IAM Identity Center. Eles podem então ser mapeados para uma IAM função que lhes permita executar AWS CLI comandos ou chamar AWS API operações sem a necessidade de teclas de acesso. Para saber mais, consulte Configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário.

nota

Correção

Para alternar chaves de acesso com mais de 90 dias, consulte Chaves de acesso rotativas no Guia do IAMusuário. Siga as instruções para qualquer usuário com uma chave de acesso com idade superior a 90 dias.

[IAM.4] a chave de acesso do usuário IAM root não deve existir

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, Foundations Benchmark v1.2.0/1.12, CIS AWS v3.2.1/2.1, v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (PCIDSS7), (10), (2) PCI DSS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-root-access-key-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a chave de acesso do usuário raiz está presente.

O usuário root é o usuário mais privilegiado em um Conta da AWS. AWS as teclas de acesso fornecem acesso programático a uma determinada conta.

O Security Hub recomenda remover todas as chaves de acesso associadas à conta raiz. Isso limita os vetores que podem ser usados para comprometer a conta. Além disso, incentiva a criação e o uso de contas baseadas em função que são menos privilegiadas.

Correção

Para excluir a chave de acesso do usuário root, consulte Excluindo chaves de acesso para o usuário root no Guia do IAM usuário. Para excluir as chaves de acesso do usuário root de um Conta da AWS in AWS GovCloud (US), consulte Excluindo as chaves de acesso do usuário raiz da minha AWS GovCloud (US) conta no Guia do AWS GovCloud (US) usuário.

[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : mfa-enabled-for-iam-console-access

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a autenticação AWS multifator (MFA) está habilitada para todos os IAM usuários que usam uma senha de console.

A autenticação multifator (MFA) adiciona uma camada extra de proteção além do nome de usuário e senha. Com MFA ativado, quando um usuário faz login em um AWS site, ele é solicitado a fornecer seu nome de usuário e senha. Além disso, eles são solicitados a fornecer um código de autenticação do AWS MFA dispositivo.

Recomendamos que você habilite MFA para todas as contas que tenham uma senha de console. MFAfoi projetado para fornecer maior segurança para acesso ao console. O principal de autenticação deve conter um dispositivo que emite uma chave sensível ao tempo e deve ter conhecimento de uma credencial.

nota

Correção

Para adicionar MFA para IAM usuários, consulte Uso da autenticação multifator (MFA) AWS no Guia do IAM usuário.

Estamos oferecendo uma chave MFA de segurança gratuita para clientes qualificados. Veja se você se qualifica e solicite sua chave gratuita.

[IAM.6] O hardware MFA deve estar habilitado para o usuário root

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, Foundations Benchmark v1.2.0/1.14, CIS AWS PCI DSS v3.2.1/8.3.1, (1), (15), (1), NIST.800-53.r5 AC-2 (1), (2), (6), (8) NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : root-account-hardware-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se você Conta da AWS está habilitado para usar um dispositivo de autenticação multifator (MFA) de hardware para fazer login com credenciais de usuário raiz. O controle falhará se MFA não estiver ativado ou se algum MFA dispositivo virtual tiver permissão para fazer login com credenciais de usuário raiz.

O virtual MFA pode não fornecer o mesmo nível de segurança dos MFA dispositivos de hardware. Recomendamos que você use somente um MFA dispositivo virtual enquanto aguarda a aprovação da compra do hardware ou a chegada do hardware. Para saber mais, consulte Habilitar um dispositivo virtual de autenticação multifator (MFA) (console) no Guia do IAM usuário.

Tanto a senha de uso único (TOTP) baseada em tempo quanto os tokens Universal 2nd Factor (U2F) são viáveis como opções de hardware. MFA

Correção

Para adicionar um MFA dispositivo de hardware para o usuário raiz, consulte Habilitar um MFA dispositivo de hardware para o usuário Conta da AWS raiz (console) no Guia IAM do usuário.

Estamos oferecendo uma chave MFA de segurança gratuita para clientes qualificados. Veja se você se qualifica e solicite sua chave gratuita.

[IAM.7] As políticas de senha para IAM usuários devem ter configurações fortes

Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-2 (3), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 IA-5 (1)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`RequireUppercaseCharacters`	Exige pelo menos um caractere maiúsculo na senha	Booleano	`true` ou `false`	`true`
`RequireLowercaseCharacters`	Exige pelo menos um caractere minúsculo na senha	Booleano	`true` ou `false`	`true`
`RequireSymbols`	Exige pelo menos um símbolo na senha	Booleano	`true` ou `false`	`true`
`RequireNumbers`	Exige pelo menos um número na senha	Booleano	`true` ou `false`	`true`
`MinimumPasswordLength`	Número mínimo de caracteres na senha	Inteiro	`8` para `128`	`8`
`PasswordReusePrevention`	Número de rotações de senha antes que uma senha antiga possa ser reutilizada	Inteiro	`12` para `24`	Nenhum valor padrão
`MaxPasswordAge`	Número de dias antes da expiração da senha	Inteiro	`1` para `90`	Nenhum valor padrão

Esse controle verifica se a política de senha da conta para IAM usuários usa configurações fortes. O controle falhará se a política de senha não usar configurações fortes. A menos que você forneça valores de parâmetros personalizados, o Security Hub usará os valores padrão mencionados na tabela anterior. Os parâmetros PasswordReusePrevention e MaxPasswordAge não têm valor padrão, portanto, se você excluir esses parâmetros, o Security Hub ignorará o número de rotações da senha e a idade da senha ao avaliar esse controle.

Para acessar o AWS Management Console, IAM os usuários precisam de senhas. Como prática recomendada, o Security Hub recomenda fortemente que, em vez de criar IAM usuários, você use a federação. A federação permite que os usuários usem suas credenciais corporativas existentes para fazer login no AWS Management Console. Use AWS IAM Identity Center (IAMIdentity Center) para criar ou federar o usuário e, em seguida, assumir uma IAM função em uma conta.

Para saber mais sobre provedores de identidade e federação, consulte Provedores de identidade e federação no Guia IAM do usuário. Para saber mais sobre o IAM Identity Center, consulte o Guia AWS IAM Identity Center do usuário.

Se você precisar usar IAM usuários, o Security Hub recomenda que você imponha a criação de senhas de usuário fortes. Você pode definir uma política de senha Conta da AWS para especificar requisitos de complexidade e períodos de rotação obrigatórios para senhas. Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. Algumas das configurações serão aplicadas imediatamente.

Correção

Para atualizar sua política de senha, consulte Configuração de uma política de senha de conta para IAM usuários no Guia IAM do usuário.

[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1), (3) NIST.800-53.r5 AC-2,, (15), NIST.800-53.r5 AC-2 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : iam-user-unused-credentials-check

Tipo de programação: Periódico

Parâmetros:

maxCredentialUsageAge: 90 (não personalizável)

Esse controle verifica se seus IAM usuários têm senhas ou chaves de acesso ativas que não foram usadas por 90 dias.

IAMos usuários podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso.

O Security Hub que você remova ou desative todas as credenciais que não foram usadas em 90 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.

nota

Correção

Quando você visualiza as informações do usuário no IAM console, há colunas para Idade da chave de acesso, Idade da senha e Última atividade. Se o valor em qualquer uma dessas colunas for maior do que 90 dias, deixe as credenciais para esses usuários inativas.

Você também pode usar os relatórios de credenciais para monitorar e identificar usuário sem atividade por 90 dias ou mais. Você pode baixar relatórios de credenciais em .csv formato do IAM console.

Depois de identificar as contas inativas ou as credenciais não utilizadas, desative-as. Para obter instruções, consulte Criar, alterar ou excluir uma senha de IAM usuário (console) no Guia do IAM usuário.

[IAM.9] MFA deve ser habilitado para o usuário root

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v3.0.0/1.5, Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), CIS AWS (15), (1), NIST.800-53.r5 AC-2 (1), (2), (6), (8) NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : root-account-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

O usuário raiz tem acesso completo a todos os serviços e recursos em uma Conta da AWS. MFAadiciona uma camada extra de proteção em cima de um nome de usuário e senha. Com MFA ativado, quando um usuário faz login no AWS Management Console, ele é solicitado a fornecer seu nome de usuário e senha e um código de autenticação do AWS MFA dispositivo.

Ao usar o virtual MFA para o usuário root, CIS recomenda que o dispositivo usado não seja um dispositivo pessoal. Em vez disso, use um dispositivo móvel dedicado (tablet ou telefone) que você gerencia para manter carregado e seguro independente dos dispositivos pessoais individuais. Isso diminui os riscos de perda de acesso MFA devido à perda do dispositivo, à troca do dispositivo ou se o proprietário do dispositivo não estiver mais empregado na empresa.

Correção

Para habilitar MFA para o usuário raiz, consulte Ativar MFA no usuário Conta da AWS raiz no Guia de referência de gerenciamento de AWS contas.

[IAM.10] As políticas de senha para IAM usuários devem ter durações fortes AWS Config

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, v3.2.1/8.2.3, v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5 PCI DSS PCI DSS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a política de senha da conta para IAM usuários usa as seguintes PCI DSS configurações mínimas.

RequireUppercaseCharacters: exige pelo menos um caractere maiúsculo na senha. (Padrão = true)
RequireLowercaseCharacters: exige pelo menos um caractere minúsculo na senha. (Padrão = true)
RequireNumbers: exige pelo menos um número na senha. (Padrão = true)
MinimumPasswordLength: tamanho mínimo da senha. (Padrão = 7 ou mais)
PasswordReusePrevention: número de senhas antes de permitir a reutilização. (Padrão = 4)
MaxPasswordAge — Número de dias antes da expiração da senha. (Padrão = 0)

Correção

Para atualizar sua política de senha para usar a configuração recomendada, consulte Definir uma política de senha de conta para IAM usuários no Guia IAM do usuário.

[IAM.11] Certifique-se de que a política de IAM senha exija pelo menos uma letra maiúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.5

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de IAM senha para garantir que as senhas usem conjuntos de caracteres diferentes.

CISrecomenda que a política de senha exija pelo menos uma letra maiúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para alterar sua política de senha, consulte Configuração de uma política de senha de conta para IAM usuários no Guia IAM do usuário. Em Força da senha, selecione Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z).

[IAM.12] Certifique-se de que a política de IAM senha exija pelo menos uma letra minúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de IAM senha para garantir que as senhas usem conjuntos de caracteres diferentes. CISrecomenda que a política de senha exija pelo menos uma letra minúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

[IAM.13] Certifique-se de que a política de IAM senha exija pelo menos um símbolo

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.7

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de IAM senha para garantir que as senhas usem conjuntos de caracteres diferentes.

CISrecomenda que a política de senha exija pelo menos um símbolo. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

[IAM.14] Certifique-se de que a política de IAM senha exija pelo menos um número

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.8

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de IAM senha para garantir que as senhas usem conjuntos de caracteres diferentes.

CISrecomenda que a política de senha exija pelo menos um número. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

[IAM.15] Certifique-se de que a política de IAM senha exija um tamanho mínimo de senha de 14 ou mais

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.8, Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9 CIS AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de IAM senha para garantir que as senhas tenham pelo menos um determinado tamanho.

CISrecomenda que a política de senha exija um tamanho mínimo de senha de 14 caracteres. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para alterar sua política de senha, consulte Configuração de uma política de senha de conta para IAM usuários no Guia IAM do usuário. Em Tamanho mínimo da senha, insira 14 ou um número maior.

[IAM.16] Certifique-se de que a política de IAM senha impeça a reutilização de senhas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.9, Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10 CIS AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o número de senhas a serem lembradas está definido como 24. O controle falhará se o valor não for 24.

IAMpolíticas de senha podem impedir a reutilização de uma determinada senha pelo mesmo usuário.

CISrecomenda que a política de senhas evite a reutilização de senhas. Impedir a reutilização de senhas aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para alterar sua política de senha, consulte Configuração de uma política de senha de conta para IAM usuários no Guia IAM do usuário. Em Impedir a reutilização da senha, digite 24.

[IAM.17] Certifique-se de que a política de IAM senhas expire as senhas em 90 dias ou menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.11

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

IAMas políticas de senha podem exigir que as senhas sejam trocadas ou expiradas após um determinado número de dias.

CISrecomenda que a política de senhas expire as senhas após 90 dias ou menos. Reduzir a duração da senha aumenta a resiliência da conta contra tentativas de login forçado. Exigir alterações de senha regulares ajuda nos seguintes cenários:

As senhas podem ser roubadas ou comprometidas sem o seu conhecimento. Isso pode acontecer por meio de um comprometimento do sistema, vulnerabilidade de software ou ameaças internas.
Alguns filtros governamentais e corporativos da Web ou servidores de proxy podem interceptar e registrar o tráfego mesmo se ele for criptografado.
Muitas pessoas usam a mesma senha para muitos sistemas, como trabalho, email e pessoal.
Estações de trabalho do usuário final comprometidas podem ter um registrador de teclas.

Correção

Para alterar sua política de senha, consulte Configuração de uma política de senha de conta para IAM usuários no Guia IAM do usuário. Em Ativar a expiração da senha, digite 90 ou um número menor.

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.17, Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20 CIS AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-policy-in-use

Tipo de programação: Periódico

Parâmetros:

policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (não personalizável)
policyUsageType: ANY (não personalizável)

AWS fornece um centro de suporte que pode ser usado para notificação e resposta a incidentes, bem como suporte técnico e atendimento ao cliente.

Crie uma IAM função para permitir que usuários autorizados gerenciem incidentes com o AWS Support. Ao implementar o menor privilégio para controle de acesso, uma IAM função exigirá uma IAM política apropriada para permitir o acesso ao centro de suporte a fim de gerenciar incidentes com. AWS Support

nota

Correção

Para corrigir esse problema, crie um perfil para permitir que usuários autorizados gerenciem incidentes do AWS Support .

Para criar a função a ser usada para AWS Support acesso

Abra o IAM console em https://console.aws.amazon.com/iam/.
No painel de IAM navegação, escolha Funções e, em seguida, escolha Criar função.
Em Tipo de perfil, escolha Outra Conta da AWS.
Em ID da conta, insira Conta da AWS a Conta da AWS ID da qual você deseja conceder acesso aos seus recursos.

Se os usuários ou grupos que assumirão essa função estiverem na mesma conta, insira o número da conta local.

nota
O administrador da conta especificada pode conceder permissão para assumir essa função a qualquer usuário do . Para fazer isso, o administrador anexa uma política ao usuário ou grupo que concede permissão para a ação sts:AssumeRole. Nessa política, o recurso deve ser a funçãoARN.
Selecione Next: Permissions (Próximo: permissões).
Procure a política gerenciada AWSSupportAccess.
Marque a caixa de seleção da política gerenciada AWSSupportAccess.
Escolha Próximo: etiquetas.
(Opcional) Para adicionar metadados à função, anexe tags como pares de chave-valor.

Para obter mais informações sobre o uso de tags emIAM, consulte Marcar IAM usuários e funções no Guia do IAM usuário.
Selecione Next: Review (Próximo: revisar).
Em Role name (Nome da função), digite um nome para sua função.

Os nomes das funções devem ser exclusivos em seu Conta da AWS. Não diferenciam letras maiúsculas de minúsculas.
(Opcional) Em Descrição do perfil, insira uma descrição para o novo perfil.
Revise a função e selecione Create role (Criar função).

Mostrar mais

Mostrar menos

[IAM.19] MFA deve ser ativado para todos os usuários IAM

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : iam-user-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os IAM usuários têm a autenticação multifator (MFA) ativada.

nota

Correção

Para adicionar MFA para IAM usuários, consulte Habilitar MFA dispositivos para usuários AWS no Guia do IAM usuário.

[IAM.20] Evite o uso do usuário root

Importante

O Security Hub retirou esse controle em abril de 2024. Para obter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.1

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::IAM::User

Regra AWS Config : use-of-root-account-test (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um Conta da AWS tem restrições ao uso do usuário root. O controle avalia os seguintes recursos:

Tópicos do Amazon Simple Notification Service (AmazonSNS)
AWS CloudTrail trilhas
Filtros métricos associados às CloudTrail trilhas
CloudWatch Alarmes da Amazon com base nos filtros

Essa verificação resulta em uma descoberta FAILED se uma ou mais das seguintes afirmações são verdadeiras:

Não existem CloudTrail trilhas na conta.
Uma CloudTrail trilha está ativada, mas não está configurada com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação.
Uma CloudTrail trilha está ativada, mas não está associada a um grupo de CloudWatch registros de registros.
O filtro métrico exato prescrito pelo Center for Internet Security (CIS) não é usado. O filtro métrico prescrito é '{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.
Não há CloudWatch alarmes baseados no filtro métrico na conta.
CloudWatch os alarmes configurados para enviar notificação ao SNS tópico associado não são acionados com base na condição do alarme.
O SNS tópico não está em conformidade com as restrições de envio de uma mensagem para um SNS tópico.
O SNS tópico não tem pelo menos um assinante.

Essa verificação resulta em um status de controle NO_DATA se uma ou mais das seguintes afirmações forem verdadeiras:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Essa verificação resulta em um status de controle WARNING se uma ou mais das seguintes afirmações forem verdadeiras:

A conta atual não é proprietária do SNS tópico referenciado no CloudWatch alarme.
A conta atual não tem acesso ao SNS tópico ao invocar o. ListSubscriptionsByTopic SNS API

nota

Recomendamos usar trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta do administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_ DATA para controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Como uma melhor prática, use as credenciais raiz somente quando necessário para realizar tarefas de gerenciamento de serviços e da conta. Aplique IAM políticas diretamente aos grupos e funções, mas não aos usuários. Para obter instruções sobre como configurar um administrador para uso diário, consulte Como criar seu primeiro usuário e grupo IAM administrador no Guia do IAM usuário.

Correção

As etapas para corrigir esse problema incluem a configuração de um SNS tópico da Amazon, uma CloudTrail trilha, um filtro métrico e um alarme para o filtro métrico.

Para criar um SNS tópico na Amazon

Abra o SNS console da Amazon em https://console.aws.amazon.com/sns/v3/home.
Crie um SNS tópico da Amazon que receba todos os CIS alarmes.

Crie pelo menos um assinante para o tópico. Para obter mais informações, consulte Introdução à Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

Em seguida, configure um ativo CloudTrail que se aplique a todas as regiões. Para fazer isso, siga as etapas de correção em [CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação.

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Crie filtros de métricas para o grupo de logs.

Por fim, crie o filtro métrico e o alarme.

Para criar um filtro e um alarme de métrica

Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, escolha Grupos de logs.
Marque a caixa de seleção do grupo de CloudWatch registros de registros associado à CloudTrail trilha que você criou.
Em Ações, escolha Criar filtro de métrica.
Em Definir padrão, faça o seguinte:
1. Copie o seguinte padrão e cole-o no campo Filter Pattern (Padrão de filtro).
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Escolha Próximo.
Em Atribuir métrica, faça o seguinte:
1. Em Nome do filtro, insira um nome para o filtro de métricas.
2. Em Namespace da métrica, digite LogMetrics.
  
  Se você usar o mesmo namespace para todos os seus filtros de métricas de CIS log, todas as métricas do CIS Benchmark serão agrupadas.
3. Em Nome da métrica, insira um nome para a nova métrica. Lembre-se do nome da métrica. Você precisará selecionar a métrica ao criar o alarme.
4. Em Metric Value (Valor de métrica), insira 1.
5. Escolha Próximo.
Em Revisar e criar, verifique as informações que você forneceu para o novo filtro de métrica. Escolha Criar filtro de métrica.
No painel de navegação, escolha Grupos de log e, em seguida, escolha o filtro que você criou em Filtros métricos.
Marque a caixa de seleção do filtro. Selecione Criar alarme.
Em Especificar métrica e condições, faça o seguinte.
1. Na seção Condições, em Tipo de limite, escolha Estático.
2. Para Definir a condição de alarme, escolha Maior/igual.
3. Em Definir o valor do limite, insira 1.
4. Escolha Próximo.
Em Configurar ações, faça o seguinte:
1. Em Gatilho do estado do alarme, escolha Em alarme.
2. Em Selecionar um SNS tópico, escolha Selecionar um SNS tópico existente.
3. Em Enviar uma notificação para, insira o nome do SNS tópico que você criou no procedimento anterior.
4. Escolha Próximo.
Em Adicionar uma descrição, insira um Nome e uma Descrição para o alarme, como CIS-1.1-RootAccountUsage. Em seguida, escolha Próximo.
Em Visualizar e criar, revise a configuração do alarme. Escolha Criar alarme.

Mostrar mais

Mostrar menos

[IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2), NIST.800-53.r5 AC-6 (3)

Categoria: Detectar > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::IAM::Policy

Regra do AWS Config : iam-policy-no-statements-with-full-access

Tipo de programação: acionado por alterações

Parâmetros:

excludePermissionBoundaryPolicy: True (não personalizável)

Esse controle verifica se as políticas IAM baseadas em identidade que você cria têm instruções Allow que usam o caractere curinga * para conceder permissões para todas as ações em qualquer serviço. O controle falhará se alguma declaração de política incluir "Effect": "Allow" com "Action": "Service:*".

Por exemplo, a declaração a seguir em uma política resulta em uma descoberta malsucedida.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

O controle também falhará se você usar "Effect": "Allow" com "NotAction": "service:*". Nesse caso, o NotAction elemento fornece acesso a todas as ações em um Serviço da AWS, exceto às ações especificadas emNotAction.

Esse controle se aplica somente às IAM políticas gerenciadas pelo cliente. Ela não se aplica às IAM políticas gerenciadas pelo AWS.

Ao atribuir permissões a Serviços da AWS, é importante definir o escopo das IAM ações permitidas em suas IAM políticas. Você deve restringir IAM as ações somente às ações necessárias. Isso ajuda você a provisionar permissões com privilégios mínimos. Políticas excessivamente permissivas podem levar ao aumento de privilégios se as políticas estiverem vinculadas a um IAM diretor que talvez não exija a permissão.

Em alguns casos, talvez você queira permitir IAM ações que tenham um prefixo semelhante, como DescribeFlowLogs e. DescribeAvailabilityZones Nesses casos autorizados, você pode adicionar um curinga com sufixo ao prefixo comum. Por exemplo, ec2:Describe*.

Esse controle passa se você usar uma IAM ação prefixada com um curinga com sufixo. Por exemplo, a declaração a seguir em uma política resulta em uma descoberta aprovada.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Ao agrupar IAM ações relacionadas dessa forma, você também pode evitar exceder os limites de tamanho da IAM política.

nota

Correção

Para corrigir esse problema, atualize suas IAM políticas para que elas não permitam privilégios administrativos “*” completos. Para obter detalhes sobre como editar uma IAM política, consulte Edição de IAM políticas no Guia do IAM usuário.

[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.12, Foundations Benchmark v1.4.0/1.12 CIS AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

AWS Config regra: iam-user-unused-credentials-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se seus IAM usuários têm senhas ou chaves de acesso ativas que não foram usadas por 45 dias ou mais. Para isso, ele verifica se o maxCredentialUsageAge parâmetro da AWS Config regra é igual a 45 ou mais.

Os usuários podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso.

CISrecomenda que você remova ou desative todas as credenciais que não foram usadas por 45 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.

A AWS Config regra para esse controle usa as GenerateCredentialReportAPIoperações GetCredentialReporte, que são atualizadas somente a cada quatro horas. As alterações nos IAM usuários podem levar até quatro horas para ficarem visíveis nesse controle.

nota

Correção

Você também pode usar os relatórios de credenciais para monitorar e identificar as contas de usuário sem atividade por 90 dias ou mais. Você pode baixar relatórios de credenciais em .csv formato do IAM console.

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config regra: tagged-accessanalyzer-analyzer (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	`No default value`

Esse controle verifica se um analisador gerenciado pelo AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o analisador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o analisador não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um analisador, consulte TagResourcena Referência do Analisador API de AWS IAM Acesso.

[IAM.24] IAM funções devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::IAM::Role

AWS Config regra: tagged-iam-role (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	`No default value`

Esse controle verifica se uma função AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a função não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a função não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma IAM função, consulte Como marcar IAM recursos no Guia do IAM usuário.

[IAM.25] IAM usuários devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::IAM::User

AWS Config regra: tagged-iam-user (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos AWS requisitos	`No default value`

Esse controle verifica se um usuário AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o usuário não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o usuário não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um IAM usuário, consulte IAMRecursos de marcação no Guia do IAM usuário.

[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.19

Categoria: Identificação > Conformidade

Severidade: média

Tipo de recurso: AWS::IAM::ServerCertificate

AWS Config regra: iam-server-certificate-expiration-check

Tipo de programação: Periódico

Parâmetros: nenhum

Isso controla se um certificado SSL TLS ativo/servidor gerenciado no IAM expirou. O controle falhará se o certificado SSL TLS /server expirado não for removido.

Para habilitar HTTPS conexões com seu site ou aplicativo em AWS, você precisa de um certificado SSL TLS /server. Você pode usar IAM ou AWS Certificate Manager (ACM) para armazenar e implantar certificados de servidor. Use IAM como gerenciador de certificados somente quando precisar oferecer suporte a HTTPS conexões em um Região da AWS que não seja suportado peloACM. IAMcriptografa com segurança suas chaves privadas e armazena a versão criptografada no armazenamento de certificados. IAM SSL IAMsuporta a implantação de certificados de servidor em todas as regiões, mas você deve obter seu certificado de um provedor externo para usar com AWS. Você não pode fazer upload de um ACM certificado para IAM o. Além disso, você não pode gerenciar seus certificados no IAM console. A remoção de TLS certificadosSSL/expirados elimina o risco de um certificado inválido ser implantado acidentalmente em um recurso, o que pode prejudicar a credibilidade do aplicativo ou site subjacente.

Correção

Para remover um certificado de servidorIAM, consulte Gerenciamento de certificados de servidor IAM no Guia do IAM usuário.

[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.22

Categoria: Proteger > Gerenciamento de acesso seguro > IAM Políticas seguras

Severidade: média

Tipo de recurso:AWS::IAM::Role,AWS::IAM::User, AWS::IAM::Group

AWS Config regra: iam-policy-blacklisted-check

Tipo de programação: acionado por alterações

Parâmetros:

““: policyArns “arn:aws:iam: :aws:policy/, arn:aws-cn:iam: :aws:policy/, arn ::iam: :aws:policy/AWSCloudShellFullAccess” AWSCloudShellFullAccess aws-us-gov AWSCloudShellFullAccess

Esse controle verifica se uma IAM identidade (usuário, função ou grupo) tem a política AWS AWSCloudShellFullAccess gerenciada anexada. O controle falhará se uma IAM identidade tiver a AWSCloudShellFullAccess política anexada.

AWS CloudShell fornece uma maneira conveniente de executar CLI comandos contra Serviços da AWS. A política AWS gerenciada AWSCloudShellFullAccess fornece acesso total a CloudShell, o que permite a capacidade de upload e download de arquivos entre o sistema local do usuário e o CloudShell ambiente. Dentro do CloudShell ambiente, um usuário tem permissões de sudo e pode acessar a Internet. Como resultado, anexar essa política gerenciada a uma IAM identidade permite que eles instalem software de transferência de arquivos e movam dados de servidores externos da CloudShell Internet. Recomendamos seguir o princípio do privilégio mínimo e atribuir permissões mais restritas às suas identidades. IAM

Correção

Para separar a AWSCloudShellFullAccess política de uma IAM identidade, consulte Adicionar e remover permissões de IAM identidade no Guia do IAM usuário.

[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.20

Categoria: Detectar > Serviços de detecção > Monitoramento de uso privilegiado

Severidade: alta

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config regra: iam-external-access-analyzer-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um Conta da AWS tem um analisador de IAM acesso externo do Access Analyzer ativado. O controle falhará se a conta não tiver um analisador de acesso externo ativado na sua conta atualmente selecionada Região da AWS.

IAMOs analisadores de acesso externo do Access Analyzer ajudam a identificar recursos em sua organização e contas, como buckets IAM ou funções do Amazon Simple Storage Service (Amazon S3), que são compartilhados com uma entidade externa. Isso ajuda você a evitar o acesso não intencional aos seus recursos e dados. IAMO Access Analyzer é regional e deve ser ativado em cada região. Para identificar recursos que são compartilhados com entidades externas, um analisador de acesso usa raciocínio baseado em lógica para analisar as políticas baseadas em recursos em seu ambiente. AWS Ao habilitar um analisador de acesso externo, você cria um analisador para toda a sua organização ou conta.

Correção

Para habilitar um analisador de acesso externo em uma região específica, consulte Habilitando o Analisador de IAM Acesso no Guia do IAMUsuário. Você deve habilitar um analisador em cada região na qual deseja monitorar o acesso aos seus recursos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

GuardDuty Controles da Amazon

Controles do Amazon Inspector