本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub 控制項 AWS AppSync
這些 Security Hub 控制項會評估 AWS AppSync 服務和資源。
這些控制項可能並非所有 都可用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【AppSync.1] AWS AppSync API 快取應靜態加密
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型: AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-cache-ct-encryption-at-rest
排程類型:變更觸發
參數:無
此控制項會檢查 AWS AppSync API 快取是否靜態加密。如果 API 快取未靜態加密,則控制項會失敗。
靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性,進而降低未經授權的使用者可存取資料的風險。
修補
您無法在啟用 AWS AppSync API 的快取之後變更加密設定。反之,您必須刪除快取,並在啟用加密的情況下重新建立快取。如需詳細資訊,請參閱《 AWS AppSync 開發人員指南》中的快取加密。
【AppSync.2] AWS AppSync 應該啟用欄位層級記錄
相關要求:PCI DSS v4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-logging-enabled
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
欄位記錄層級 |
列舉 |
|
|
此控制項會檢查 AWS AppSync API 是否已開啟欄位層級記錄。如果欄位解析程式日誌層級設定為無,則控制項會失敗。除非您提供自訂參數值來指示應啟用特定日誌類型,否則如果欄位解析程式日誌層級為 ERROR或 ,Security Hub 會產生傳遞的調查結果ALL。
您可以使用記錄和指標來識別、故障診斷和最佳化您的 GraphQL 查詢。開啟記錄 for AWS AppSync GraphQL 可協助您取得 API 請求和回應的詳細資訊、識別和回應問題,以及遵守法規要求。
修補
若要開啟 的記錄 AWS AppSync,請參閱《 AWS AppSync 開發人員指南》中的設定和組態。
【AppSync.4] AWS AppSync GraphQL APIs應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::AppSync::GraphQLApi
AWS Config rule:tagged-appsync-graphqlapi(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 AWS AppSync GraphQL API 是否具有具有參數 中定義之特定索引鍵的標籤requiredTagKeys。如果 GraphQL API 沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果 GraphQL API 未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組不同的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 AWS AppSync GraphQL API,請參閱 AWS AppSync API 參考TagResource中的 。
【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證
相關需求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:高
資源類型: AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-authorization-check
排程類型:變更觸發
參數:
AllowedAuthorizationTypes:AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS(不可自訂)
此控制項會檢查您的應用程式是否使用 API 金鑰與 AWS AppSync GraphQL API 互動。如果使用 API 金鑰驗證 AWS AppSync GraphQL API,則控制項會失敗。
API 金鑰是應用程式中的硬式編碼值,在您建立未經驗證的 GraphQL 端點時,由 AWS AppSync 服務產生。如果此 API 金鑰遭到入侵,您的端點容易受到意外存取。除非您支援可公開存取的應用程式或網站,否則我們不建議使用 API 金鑰進行身分驗證。
修補
若要為您的 AWS AppSync GraphQL API 設定授權選項,請參閱《 AWS AppSync 開發人員指南》中的授權和身分驗證。
【AppSync.6] AWS AppSync API 快取應在傳輸中加密
類別:保護 > 資料保護 > data-in-transit加密
嚴重性:中
資源類型: AWS::AppSync::ApiCache
AWS Config 規則:appsync-cache-ct-encryption-in-transit
排程類型:變更已觸發
參數:無
此控制項會檢查 AWS AppSync API 快取是否在傳輸中加密。如果傳輸中未加密 API 快取,則控制項會失敗。
傳輸中的資料是指從一個位置移動到另一個位置的資料,例如叢集中的節點之間,或叢集與您的應用程式之間。資料可能會跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。
修補
您無法在啟用 AWS AppSync API 的快取之後變更加密設定。反之,您必須刪除快取,並在啟用加密的情況下重新建立快取。如需詳細資訊,請參閱《 AWS AppSync 開發人員指南》中的快取加密。
