本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的 Security Hub CSPM 控制項 AWS AppSync
這些 Security Hub CSPM 控制項會評估 AWS AppSync 服務和資源。
這些控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【AppSync.1] AWS AppSync API 快取應靜態加密
**重要**
Security Hub CSPM 已於 2026 年 3 月 9 日淘汰此控制項。如需詳細資訊,請參閱 [Security Hub CSPM 控制項的變更日誌](controls-change-log.md). AWS AppSync now 為所有目前和未來的 API 快取提供預設加密。
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::AppSync::GraphQLApi`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 AWS AppSync API 快取是否靜態加密。如果 API 快取未靜態加密,則控制項會失敗。
靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性,進而降低未經授權的使用者可存取資料的風險。
### 修補
您無法在啟用 AWS AppSync API 的快取之後變更加密設定。反之,您必須刪除快取,並在啟用加密的情況下重新建立快取。如需詳細資訊,請參閱《 *AWS AppSync 開發人員指南*》中的[快取加密](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)。
## 【AppSync.2] AWS AppSync 應該啟用欄位層級記錄
**相關要求:**PCI DSS v4.0.1/10.4.2
**類別:**識別 > 記錄日誌
**嚴重性:**中
**資源類型:** `AWS::AppSync::GraphQLApi`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| `fieldLoggingLevel` | 欄位記錄層級 | 列舉 | `ERROR`, `ALL`, `INFO`, `DEBUG` | `No default value` |
此控制項會檢查 AWS AppSync API 是否已開啟欄位層級記錄。如果欄位解析程式日誌層級設定為**無**,則控制項會失敗。除非您提供自訂參數值來指出應該啟用特定日誌類型,否則如果欄位解析程式日誌層級為 `ERROR`或 ,Security Hub CSPM 會產生傳遞的問題清單`ALL`。
您可以使用記錄和指標來識別、故障診斷和最佳化您的 GraphQL 查詢。開啟 for AWS AppSync GraphQL 的記錄可協助您取得 API 請求和回應的詳細資訊、識別和回應問題,以及遵守法規要求。
### 修補
若要開啟 的記錄 AWS AppSync,請參閱《 *AWS AppSync 開發人員指南*》中的[設定和組態](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration)。
## 【AppSync.4] AWS AppSync GraphQL APIs應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::AppSync::GraphQLApi`
**AWS Config rule:**`tagged-appsync-graphqlapi`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 AWS AppSync GraphQL API 是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 GraphQL API 沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果 GraphQL API 未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 AWS AppSync GraphQL API,請參閱《 *AWS AppSync API 參考*[https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)》中的 。
## 【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證
**相關需求:**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
**類別:**保護 > 安全存取管理 > 無密碼身分驗證
**嚴重性:**高
**資源類型:** `AWS::AppSync::GraphQLApi`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)
**排程類型:**已觸發變更
**參數:**
+ `AllowedAuthorizationTypes`:` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS`(不可自訂)
此控制項會檢查您的應用程式是否使用 API 金鑰與 AWS AppSync GraphQL API 互動。如果使用 API 金鑰驗證 AWS AppSync GraphQL API,則控制項會失敗。
API 金鑰是應用程式中的硬式編碼值,會在您建立未經驗證的 GraphQL 端點時由 AWS AppSync 服務產生。如果此 API 金鑰遭到入侵,您的端點容易受到意外存取的影響。除非您支援可公開存取的應用程式或網站,否則我們不建議使用 API 金鑰進行身分驗證。
### 修補
若要為您的 AWS AppSync GraphQL API 設定授權選項,請參閱《 *AWS AppSync 開發人員指南*》中的[授權和身分驗證](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html)。
## 【AppSync.6] AWS AppSync API 快取應在傳輸中加密
**重要**
Security Hub CSPM 已於 2026 年 3 月 9 日淘汰此控制項。如需詳細資訊,請參閱 [Security Hub CSPM 控制項的變更日誌](controls-change-log.md). AWS AppSync now 為所有目前和未來的 API 快取提供預設加密。
**類別:**保護 > 資料保護 > data-in-transit加密
**嚴重性:**中
**資源類型:** `AWS::AppSync::ApiCache`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 AWS AppSync API 快取是否在傳輸中加密。如果 API 快取未在傳輸中加密,則控制項會失敗。
傳輸中的資料是指從一個位置移動到另一個位置的資料,例如叢集中的節點之間,或叢集與您的應用程式之間。資料可能會在網際網路或私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。
### 修補
您無法在啟用 AWS AppSync API 的快取之後變更加密設定。反之,您必須刪除快取,並在啟用加密的情況下重新建立快取。如需詳細資訊,請參閱《 *AWS AppSync 開發人員指南*》中的[快取加密](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)。