本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Route 53 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Route 53 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【Route53.1】 應標記 Route 53 運作狀態檢查
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Route53::HealthCheck
AWS Config rule:tagged-route53-healthcheck(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon Route 53 運作狀態檢查是否具有標籤,其中包含參數 中定義的特定金鑰requiredTagKeys。如果運作狀態檢查沒有任何標籤索引鍵,或者它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果運作狀態檢查未使用任何索引鍵標記,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含金鑰和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Route 53 運作狀態檢查,請參閱《Amazon Route 53 開發人員指南》中的命名和標記運作狀態檢查。
【Route53.2】 Route 53 公有託管區域應記錄DNS查詢
相關要求: NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::Route53::HostedZone
AWS Config 規則:route53-query-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查是否已啟用 Amazon Route 53 公有託管區域的DNS查詢記錄。如果未針對 Route 53 公有託管區域啟用DNS查詢記錄,則控制項會失敗。
Route 53 託管區域的記錄DNS查詢可解決DNS安全性和合規要求,並授予可見性。日誌包含查詢的網域或子網域、查詢的日期和時間、DNS記錄類型 (例如 A 或 AAAA) 和DNS回應碼 (例如 NoError或 ) 等資訊ServFail。啟用DNS查詢記錄時,Route 53 會將日誌檔案發佈至 Amazon CloudWatch Logs。
修補
若要記錄 Route 53 公有託管區域的DNS查詢,請參閱《Amazon Route 53 開發人員指南》中的設定DNS查詢的記錄。
