Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS AppSync controles
Estos controles están relacionados con los AWS AppSync recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::AppSync::GraphQLApi
Regla de AWS Config : appsync-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
|
Nivel de registro del campo |
Enum |
|
|
Este control comprueba si un usuario AWS AppSync API tiene activado el registro a nivel de campo. Se produce un error en el control si el nivel de registro del solucionador de campos está establecido en Ninguno. A menos que se proporcionen valores personalizados de parámetros para indicar que se debe habilitar un tipo de registro específico, Security Hub genera un resultado válido si el nivel de registro del solucionador de campos es ERROR
o ALL
.
Puede utilizar el registro y las métricas para identificar, solucionar problemas y optimizar sus consultas de GraphQL. Activar el registro en AWS AppSync GraphQL te ayuda a obtener información detallada sobre las API solicitudes y las respuestas, a identificar y responder a los problemas y a cumplir con los requisitos reglamentarios.
Corrección
Para activar el registro AWS AppSync, consulta Instalación y configuración en la Guía para AWS AppSync desarrolladores.
[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::AppSync::GraphQLApi
Regla de AWS Config : tagged-appsync-graphqlapi
(regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están disponibles y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS los requisitos | Sin valor predeterminado |
Este control comprueba si un AWS AppSync GraphQL API tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys
El control falla si GraphQL API no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro. requiredTagKeys
Si requiredTagKeys
no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el GraphQL API no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:
, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un AWS AppSync GraphQLAPI, consulte TagResourcela AWS AppSync API Referencia.
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves API
Requisitos relacionados: NIST .800-53.r5 AC-2 (1), .800-53.r5 AC-3, .800-53.r5 AC-3 (15), NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-6 NIST NIST NIST
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: alta
Tipo de recurso: AWS::AppSync::GraphQLApi
Regla de AWS Config : appsync-authorization-check
Tipo de horario: provocado por un cambio
Parámetros:
AllowedAuthorizationTypes
:AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS
(no personalizable)
Este control comprueba si la aplicación utiliza una API clave para interactuar con un AWS AppSync GraphQLAPI. El control falla si un AWS AppSync GraphQL API se autentica con una clave. API
Una API clave es un valor codificado en la aplicación que el AWS AppSync servicio genera al crear un punto final de GraphQL no autenticado. Si esta API clave se ve comprometida, tu punto final es vulnerable a un acceso no deseado. A menos que respalde una aplicación o un sitio web de acceso público, no recomendamos utilizar una API clave de autenticación.
Corrección
Para configurar una opción de autorización para tu AWS AppSync GraphQLAPI, consulta Autorización y autenticación en la Guía para AWS AppSync desarrolladores.