AWS AppSync commandes - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS AppSync commandes

Ces contrôles sont liés aux AWS AppSync ressources.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::AppSync::GraphQLApi

Règle AWS Config  : appsync-logging-enabled

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

fieldLoggingLevel

Niveau de journalisation des champs

Enum

ERROR, ALL

No default value

Ce contrôle vérifie si la journalisation au niveau du champ est activée pour une AWS AppSync API. Le contrôle échoue si le niveau de journalisation du résolveur de champs est défini sur Aucun. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub produit un résultat positif si le niveau de journal du résolveur de champs est l'un ERROR ou ALL l'autre.

Vous pouvez utiliser la journalisation et les métriques pour identifier, dépanner et optimiser vos requêtes GraphQL. L'activation de la journalisation pour AWS AppSync GraphQL vous permet d'obtenir des informations détaillées sur les demandes et réponses des API, d'identifier les problèmes et d'y répondre, et de vous conformer aux exigences réglementaires.

Correction

Pour activer la journalisation AWS AppSync, reportez-vous à la section Configuration et configuration du Guide du AWS AppSync développeur.

[AppSync.5] AWS AppSync Les API GraphQL ne doivent pas être authentifiées avec des clés d'API

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6

Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe

Gravité : Élevée

Type de ressource : AWS::AppSync::GraphQLApi

Règle AWS Config  : appsync-authorization-check

Type de calendrier : changement déclenché

Paramètres :

  • AllowedAuthorizationTypes: AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS (non personnalisable)

Ce contrôle vérifie si votre application utilise une clé d'API pour interagir avec une API AWS AppSync GraphQL. Le contrôle échoue si une API AWS AppSync GraphQL est authentifiée à l'aide d'une clé d'API.

Une clé d'API est une valeur codée en dur dans votre application qui est générée par le AWS AppSync service lorsque vous créez un point de terminaison GraphQL non authentifié. Si cette clé d'API est compromise, votre terminal est vulnérable à un accès involontaire. À moins que vous ne souteniez une application ou un site Web accessible au public, nous vous déconseillons d'utiliser une clé d'API pour l'authentification.

Correction

Pour définir une option d'autorisation pour votre API AWS AppSync GraphQL, consultez la section Autorisation et authentification dans le Guide du AWS AppSync développeur.