Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS CloudFormation commandes
Ces contrôles sont liés aux CloudFormation ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[CloudFormation.1] les CloudFormation piles doivent être intégrées à Simple Notification Service () SNS
Important
Security Hub a retiré ce contrôle en avril 2024. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.
Exigences connexes : NIST .800-53.r5 SI-4 (12), NIST .800-53.r5 SI-4 (5)
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::CloudFormation::Stack
Règle AWS Config : cloudformation-stack-notification-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une notification Amazon Simple Notification Service est intégrée à une AWS CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucune SNS notification n'y est associée.
La configuration d'une SNS notification avec votre CloudFormation pile permet d'informer immédiatement les parties prenantes de tout événement ou changement survenant dans la pile.
Correction
Pour intégrer une CloudFormation pile et un SNS sujet, consultez la section Mettre à jour les piles directement dans le guide de l'AWS CloudFormation utilisateur.
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::CloudFormation::Stack
AWS Config règle : tagged-cloudformation-stack (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS CloudFormation pile possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la pile ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pile n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une CloudFormation pile, reportez-vous CreateStackà la section AWS CloudFormation APIRéférence.
