本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon SQS 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon Simple Queue Service (Amazon SQS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【SQS.1】 Amazon SQS 佇列應靜態加密
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::SQS::Queue`
**AWS Config rule:**`sqs-queue-encrypted`(自訂 Security Hub CSPM 規則)
**排程類型:**變更已觸發
**參數:**無
此控制項會檢查 Amazon SQS 佇列是否靜態加密。如果佇列未使用 SQS 受管金鑰 (SSE-SQS) 或 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 加密,則控制項會失敗。
加密靜態資料可降低未經授權的使用者存取儲存在磁碟上的資料的風險。伺服器端加密 (SSE) 使用 SQS 受管加密金鑰 (SSE-SQS) 或 AWS KMS 金鑰 (SSE-KMS) 保護 SQS 佇列中的訊息內容。
### 修補
若要設定 SQS 佇列的 SSE,請參閱《*Amazon Simple Queue Service 開發人員指南*》中的[設定佇列的伺服器端加密 (SSE)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html)。
## 【SQS.2】 SQS 佇列應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::SQS::Queue`
**AWS Config rule:**`tagged-sqs-queue`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | No default value |
此控制項會檢查 Amazon SQS 佇列是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果佇列沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果佇列未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要使用 Amazon SQS 主控台將標籤新增至現有佇列,請參閱《Amazon *Simple Queue Service 開發人員指南*》中的[設定 Amazon SQS 佇列 (主控台) 的成本分配標籤](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html)。
## 【SQS.3】 SQS 佇列存取政策不應允許公開存取
**類別:**保護 > 安全存取管理 > 資源不可公開存取
**嚴重性:**嚴重
**資源類型:** `AWS::SQS::Queue`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon SQS 存取政策是否允許公開存取 SQS 佇列。如果 SQS 存取政策允許公開存取佇列,則控制項會失敗。
Amazon SQS 存取政策可以允許公開存取 SQS 佇列,這可能允許匿名使用者或任何已驗證的 AWS IAM 身分存取佇列。SQS 存取政策通常會透過在政策的 `Principal`元素中指定萬用字元 (`*`) 來提供此存取,而不使用適當的條件來限制對佇列的存取,或同時指定兩者。如果 SQS 存取政策允許公開存取,第三方可能會執行任務,例如從佇列接收訊息、傳送訊息至佇列,或修改佇列的存取政策。這可能會導致資料外洩、拒絕服務或威脅行為者將訊息注入佇列等事件。
**注意**
此控制項不會評估使用萬用字元或變數的政策條件。若要產生`PASSED`調查結果,佇列的 Amazon SQS 存取政策中的條件只能使用固定值,這些值不包含萬用字元或政策變數。如需政策變數的相關資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
### 修補
如需有關為 SQS 佇列設定 SQS 存取政策的資訊,請參閱《[Amazon Simple Queue Service 開發人員指南》中的搭配 Amazon SQS 存取政策語言使用自訂](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html)政策。 **