As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles de CSPM do Security Hub para Amazon SNS
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Simple Notification Service (Amazon SNS). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-26), NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::SNS::Topic`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um tópico do Amazon SNS é criptografado em repouso usando chaves gerenciadas no AWS Key Management Service (AWS KMS). Os controles falharão se o tópico do SNS não usar uma chave do KMS para criptografia do lado do servidor (SSE). Por padrão, o SNS armazena mensagens e arquivos usando criptografia de disco. Para passar esse controle, é necessário, em vez disso, escolher usar uma chave do KMS para criptografia. Isso adiciona uma camada adicional de segurança e fornece mais flexibilidade de controle de acesso.
Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS As permissões de API são necessárias para descriptografar os dados antes que eles possam ser lidos. Recomendamos criptografar os tópicos do SNS com chaves do KMS para uma camada adicional de segurança.
### Correção
Para habilitar o SSE para um tópico do SNS, consulte [Enabling server-side encryption (SSE) for an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) no *Amazon Simple Notification Service Developer Guide*. Antes de usar o SSE, você também deve configurar AWS KMS key políticas para permitir a criptografia de tópicos e criptografia e descriptografia de mensagens. Para obter mais informações, consulte [Configuração de AWS KMS permissões](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
## [SNS.2] O registro em log do status de entrega deve ser habilitado para mensagens de notificação enviadas a um tópico
**Importante**
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte [Log de alterações dos controles do CSPM do Security Hub](controls-change-log.md).
**Requisitos relacionados:** NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::SNS::Topic`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o registro em log está habilitado para o status de entrega de mensagens de notificação enviadas para um tópico do Amazon SNS para endpoints. Esse controle falhará se a notificação do status de entrega das mensagens não estiver ativada.
O registro em log é uma parte importante para manter a confiabilidade, a disponibilidade e a performance dos serviços. O registro de status de entrega de mensagens proporciona um melhor insight operacional, como, por exemplo:
+ Saber se uma mensagem foi entregue para o endpoint do Amazon SNS.
+ Identificar a resposta enviada do endpoint do Amazon SNS ao Amazon SNS.
+ Determinar o tempo de permanência da mensagem (o tempo entre o carimbo de data e hora da publicação e antes do envio para um endpoint do Amazon SNS).
### Correção
Para configurar o registro do status de entrega para um tópico, consulte [Status de entrega de mensagens do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
## [SNS.3] Os tópicos do SNS devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SNS::Topic`
**AWS Config regra:** `tagged-sns-topic` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um tópico do Amazon SNS tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o tópico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o tópico não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um tópico do SNS, consulte [Configuring Amazon SNS topic tags](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) no *Amazon Simple Notification Service Developer Guide*.
## [SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::SNS::Topic`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a política de acesso a tópicos do Amazon SNS permite o acesso público. Esse controle falhará se a política de acesso a tópicos do SNS permitir o acesso público.
Você usa uma política de acesso do Amazon SNS com determinado tópico para restringir quem pode trabalhar com esse tópico (por exemplo, quem pode publicar mensagens nele ou quem pode assiná-lo). As políticas do SNS podem conceder acesso a outras Contas da AWS pessoas ou a usuários dentro da sua Conta da AWS. Fornecer um caractere curinga (\$1) no campo `Principal` da política de tópicos e a falta de condições para limitar a política de tópicos podem resultar em exfiltração de dados, negação de serviço ou injeção indesejada de mensagens no serviço por um invasor.
**nota**
Esse controle não avalia as condições de políticas que usem caracteres curinga ou variáveis. Para produzir uma descoberta `PASSED`, as condições na política de acesso do Amazon SNS para um tópico devem usar somente valores fixos, que são valores que não contenham caracteres curinga ou variáveis de política. Para obter informações sobre as variáveis de política, consulte [Variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do AWS Identity and Access Management *.
### Correção
Para atualizar as políticas de acesso para um tópico do SNS, consulte [Overview of managing access in Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) no *Amazon Simple Notification Service Developer Guide*.