本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon SES 的 Security Hub CSPM 控制項
<a name="ses-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Simple Email Service (Amazon SES服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【SES.1】 SES 聯絡人清單應加上標籤
<a name="ses-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SES::ContactList`

**AWS Config rule：**`tagged-ses-contactlist`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon SES 聯絡人清單是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果聯絡人清單沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果聯絡人清單未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ses-1-remediation"></a>

若要將標籤新增至 Amazon SES 聯絡人清單，請參閱《*Amazon SES API v2 參考*》中的 [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)。

## 【SES.2】 SES 組態集應加上標籤
<a name="ses-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SES::ConfigurationSet`

**AWS Config rule：**`tagged-ses-configurationset`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon SES 組態設定是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果組態集沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果組態集未標記任何索引鍵，則 控制項會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ses-2-remediation"></a>

若要將標籤新增至 Amazon SES 組態設定，請參閱《*Amazon SES API v2 參考*》中的 [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)。

## 【SES.3】 SES 組態集應啟用 TLS 以傳送電子郵件
<a name="ses-3"></a>

**類別：**保護 > 資料保護 > data-in-transit加密 

**嚴重性：**中

**資源類型：** `AWS::SES::ConfigurationSet`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SES 組態設定是否需要 TLS 連線。如果組態設定的 TLS 政策未設定為 `'REQUIRE'` ，則控制項會失敗。

根據預設，Amazon SES 使用機會式 TLS，這表示如果無法與接收郵件伺服器建立 TLS 連線，則可以未加密地傳送電子郵件。為電子郵件傳送強制執行 TLS 可確保訊息只有在可以建立安全加密連線時才會傳遞。這有助於在 Amazon SES 與收件人郵件伺服器之間的傳輸期間保護電子郵件內容的機密性和完整性。如果無法建立安全 TLS 連線，則不會傳送訊息，以防止可能暴露敏感資訊。

**注意**  
雖然 TLS 1.3 是 Amazon SES 的預設交付方法，但不透過組態設定強制執行 TLS 要求，但如果 TLS 連線失敗，訊息可能會以純文字交付。若要傳遞此控制項，您必須在 SES 組態集的交付選項`'REQUIRE'`中將 TLS 政策設定為 。需要 TLS 時，只有在可與接收郵件伺服器建立 TLS 連線時，才會傳遞訊息。

### 修補
<a name="ses-3-remediation"></a>

若要將 Amazon SES 設定為需要組態設定的 TLS 連線，請參閱[《Amazon SES 開發人員指南》中的 Amazon SES 和安全性通訊協定](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver)。 *Amazon SES *