Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS AppSync
Ces contrôles du Security Hub évaluent le AWS AppSync service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::AppSync::GraphQLApi
Règle AWS Config : appsync-cache-ct-encryption-at-rest
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le cache d'une AWS AppSync API est chiffré au repos. Le contrôle échoue si le cache de l'API n'est pas chiffré au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
Correction
Vous ne pouvez pas modifier les paramètres de chiffrement après avoir activé la mise en cache pour votre AWS AppSync API. Au lieu de cela, vous devez supprimer le cache et le recréer avec le chiffrement activé. Pour plus d'informations, consultez la section Chiffrement du cache dans le Guide du AWS AppSync développeur.
[AppSync.2] AWS AppSync devrait avoir activé la journalisation au niveau du champ
Exigences connexes : PCI DSS v4.0.1/10.4.2
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::AppSync::GraphQLApi
Règle AWS Config : appsync-logging-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Niveau de journalisation sur le terrain |
Enum |
|
|
Ce contrôle vérifie si la journalisation au niveau du champ est activée pour une AWS AppSync API. Le contrôle échoue si le niveau de journalisation du résolveur de champs est défini sur Aucun. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub produit un résultat positif si le niveau de journal du résolveur de champs est l'un ERROR ou ALL l'autre.
Vous pouvez utiliser la journalisation et les métriques pour identifier, dépanner et optimiser vos requêtes GraphQL. L'activation de la journalisation pour AWS AppSync GraphQL vous permet d'obtenir des informations détaillées sur les demandes et réponses des API, d'identifier les problèmes et d'y répondre, et de vous conformer aux exigences réglementaires.
Correction
Pour activer la journalisation AWS AppSync, reportez-vous à la section Configuration et configuration du Guide du AWS AppSync développeur.
[AppSync.4] AWS AppSync GraphQL APIs doit être balisé
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::AppSync::GraphQLApi
AWS Config règle : tagged-appsync-graphqlapi (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une API AWS AppSync GraphQL possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si l'API GraphQL ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre. requiredTagKeys Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'API GraphQL n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une API AWS AppSync GraphQL, voir TagResource dans la Référence d'API AWS AppSync
[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API
Exigences connexes : NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Élevée
Type de ressource : AWS::AppSync::GraphQLApi
Règle AWS Config : appsync-authorization-check
Type de calendrier : changement déclenché
Paramètres :
AllowedAuthorizationTypes:AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS(non personnalisable)
Ce contrôle vérifie si votre application utilise une clé d'API pour interagir avec une API AWS AppSync GraphQL. Le contrôle échoue si une API AWS AppSync GraphQL est authentifiée à l'aide d'une clé d'API.
Une clé d'API est une valeur codée en dur dans votre application qui est générée par le AWS AppSync service lorsque vous créez un point de terminaison GraphQL non authentifié. Si cette clé d'API est compromise, votre terminal est vulnérable à un accès involontaire. À moins que vous ne souteniez une application ou un site Web accessible au public, nous vous déconseillons d'utiliser une clé d'API pour l'authentification.
Correction
Pour définir une option d'autorisation pour votre API AWS AppSync GraphQL, consultez la section Autorisation et authentification dans le Guide du AWS AppSync développeur.
[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::AppSync::ApiCache
Règle AWS Config : appsync-cache-ct-encryption-in-transit
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le cache d'une AWS AppSync API est chiffré en transit. Le contrôle échoue si le cache de l'API n'est pas chiffré pendant le transfert.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
Correction
Vous ne pouvez pas modifier les paramètres de chiffrement après avoir activé la mise en cache pour votre AWS AppSync API. Au lieu de cela, vous devez supprimer le cache et le recréer avec le chiffrement activé. Pour plus d'informations, consultez la section Chiffrement du cache dans le Guide du AWS AppSync développeur.
