本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon 的 Security Hub 控制 SNS

這些 AWS Security Hub 控件評估 Amazon 簡單通知服務（AmazonSNS）服務和資源。

這些控件可能無法在所有人中使用 AWS 區域。 如需詳細資訊，請參閱各區域控制項的可用性。

[SNS.1] SNS 主題應該使用靜態加密 AWS KMS

相關要求： NIST.800-53.r5 CA-9(一)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1三、 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2八、NIST八 NIST.800-53.r5 SC-7 (一)、(十)、

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::SNS::Topic

AWS Config 規則：sns-encrypted-kms

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon SNS 主題是否使用中管理的金鑰進行靜態加密 AWS Key Management Service (AWS KMS). 如果SNS主題不使用KMS金鑰進行伺服器端加密 (SSE)，則控制項會失敗。依預設，會使用磁碟加密SNS儲存訊息和檔案。若要傳遞此控制項，您必須選擇改為使用KMS金鑰進行加密。這增加了一層額外的安全性，並提供了更多的存取控制靈活性。

靜態資料加密可降低未經驗證的使用者存取儲存在磁碟上的資料的風險 AWS。 API在讀取數據之前需要權限才能解密數據。我們建議您使用KMS金鑰加密SNS主題，以增加一層安全性。

修補

若要啟SSE用SNS主題，請參閱 Amazon 簡單通知服務開發人員指南中的啟用 Amazon SNS 主題的伺服器端加密 (SSE)。在您可以使用之前SSE，您還必須配置 AWS KMS key 允許主題加密和消息加密和解密的策略。如需詳細資訊，請參閱設定 AWS KMSAmazon 簡易通知服務開發人員指南中的許可。

[SNS.2] 應為發送到主題的通知消息啟用傳送狀態的記錄

相關需求：NISTAU-12 NIST

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::SNS::Topic

AWS Config 規則：sns-topic-message-delivery-notification-enabled

排程類型：已觸發變更

參數：無

此控制項會檢查傳送至 Amazon SNS 主題的端點通知訊息的傳遞狀態是否啟用記錄功能。如果未啟用郵件的傳遞狀態通知，則此控制項會失敗。

記錄是維護服務可靠性、可用性和效能的重要組成部分。記錄郵件傳遞狀態有助於提供操作見解，如下所示：

修補

若要設定主題的交付狀態記錄，請參閱 Amazon 簡單通知服務開發人員指南中的 Amazon SNS 訊息交付狀態。

[SNS.3] SNS 主題應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::SNS::Topic

AWS Config 規則:tagged-sns-topic(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon SNS 主題是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果主題沒有任何標籤鍵，或者沒有在參數中指定的所有索引鍵，控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果主題未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤的標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要為SNS主題新增標籤，請參閱 Amazon 簡單通知服務開發人員指南中的設定 Amazon SNS 主題標籤。