Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon EC2
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Elastic Compute Cloud (AmazonEC2).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource : AWS::::Account
Règle AWS Config : ebs-snapshot-public-restorable-check
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. Le contrôle échoue si les EBS instantanés Amazon peuvent être restaurés par n'importe qui.
EBSles instantanés sont utilisés pour sauvegarder les données de vos EBS volumes sur Amazon S3 à un moment précis. Vous pouvez utiliser les instantanés pour restaurer les états précédents des EBS volumes. Il est rarement acceptable de partager un instantané avec le public. Généralement, la décision de partager un instantané publiquement a été prise par erreur ou sans une compréhension complète des implications. Cette vérification permet de s'assurer que tout ce partage a été entièrement planifié et intentionnel.
Pour rendre un EBS instantané public privé, consultez la section Partager un instantané dans le guide de EC2 l'utilisateur Amazon. Pour Actions, Modifier les autorisations, choisissez Privé.
[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
Exigences associées : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, v3.2.1/2.1, CIS AWS Foundations Benchmark PCI DSS v1.2.0/4.3, Foundations Benchmark v1.4.0/5.3, Foundations Benchmark v3.0.0/5.4,, CIS AWS (21), (11), (CIS AWS 16), (21), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::EC2::SecurityGroup
Règle AWS Config : vpc-default-security-group-closed
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le groupe de sécurité par défaut d'un VPC autorise le trafic entrant ou sortant. Le contrôle échoue si le groupe de sécurité autorise le trafic entrant ou sortant.
Les règles du groupe de sécurité par défaut autorisent tout le trafic sortant et entrant à partir d’interfaces réseau (et de leurs instances associées) affectées au même groupe de sécurité. Nous vous recommandons de ne pas utiliser le groupe de sécurité par défaut. Étant donné que le groupe de sécurité par défaut ne peut pas être supprimé, vous devez modifier le paramètre des règles de groupe de sécurité par défaut pour restreindre le trafic entrant et sortant. Cela permet d'éviter tout trafic involontaire si le groupe de sécurité par défaut est accidentellement configuré pour des ressources telles que des EC2 instances.
Correction
Pour remédier à ce problème, commencez par créer de nouveaux groupes de sécurité dotés du moindre privilège. Pour obtenir des instructions, consultez la section Créer un groupe de sécurité dans le guide de VPC l'utilisateur Amazon. Attribuez ensuite les nouveaux groupes de sécurité à vos EC2 instances. Pour obtenir des instructions, consultez Modifier le groupe de sécurité d'une instance dans le guide de EC2 l'utilisateur Amazon.
Après avoir attribué les nouveaux groupes de sécurité à vos ressources, supprimez toutes les règles entrantes et sortantes des groupes de sécurité par défaut. Pour obtenir des instructions, consultez la section Supprimer les règles du groupe de sécurité dans le guide de VPC l'utilisateur Amazon.
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::EC2::Volume
Règle AWS Config : encrypted-volumes
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les EBS volumes attachés sont chiffrés. Pour réussir cette vérification, les EBS volumes doivent être en cours d'utilisation et chiffrés. Si le EBS volume n'est pas connecté, il n'est pas soumis à cette vérification.
Pour renforcer la sécurité de vos données sensibles en EBS volume, vous devez activer le EBS chiffrement au repos. Amazon EBS Encryption propose une solution de chiffrement simple pour vos EBS ressources qui ne vous oblige pas à créer, maintenir et sécuriser votre propre infrastructure de gestion des clés. Il utilise des KMS clés pour créer des volumes chiffrés et des instantanés.
Pour en savoir plus sur EBS le EBSchiffrement Amazon, consultez le manuel Amazon EC2 User Guide.
Correction
Il n'existe aucun moyen direct de chiffrer un volume ou un instantané non chiffré existant. Vous pouvez uniquement chiffrer un nouveau volume ou instantané lorsque vous le créez.
Si vous avez activé le chiffrement par défaut, Amazon EBS chiffre le nouveau volume ou instantané obtenu à l'aide de votre clé par défaut pour le EBS chiffrement Amazon. Même si vous n'avez pas activé le chiffrement par défaut, vous pouvez activer le chiffrement lorsque vous créez un volume ou un instantané spécifique. Dans les deux cas, vous pouvez remplacer la clé par défaut pour le EBS chiffrement Amazon et choisir une clé symétrique gérée par le client.
Pour plus d'informations, consultez les sections Création d'un EBS volume Amazon et Copie d'un EBS instantané Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Catégorie : Identifier - Inventaire
Gravité : Moyenne
Type de ressource : AWS::EC2::Instance
Règle AWS Config : ec2-stopped-instance
Type de calendrier : Périodique
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
Nombre de jours pendant EC2 lesquels l'instance est autorisée à être arrêtée avant de générer un échec de recherche. |
Entier |
|
|
Ce contrôle vérifie si une EC2 instance Amazon a été arrêtée pendant plus de jours que le nombre de jours autorisé. Le contrôle échoue si une EC2 instance est arrêtée pendant une durée supérieure à la durée maximale autorisée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période maximale autorisée, Security Hub utilise une valeur par défaut de 30 jours.
Lorsqu'une EC2 instance n'est pas exécutée pendant une longue période, cela crée un risque de sécurité car elle n'est pas activement maintenue (analysée, corrigée, mise à jour). S'il est lancé ultérieurement, l'absence de maintenance appropriée peut entraîner des problèmes inattendus dans votre AWS environnement. Pour maintenir une EC2 instance inactive au fil du temps en toute sécurité, démarrez-la régulièrement pour la maintenance, puis arrêtez-la après la maintenance. Idéalement, il devrait s'agir d'un processus automatisé.
Correction
Pour mettre fin à une EC2 instance inactive, consultez la section Résiliation d'une instance dans le guide de EC2 l'utilisateur Amazon.
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.9, Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, PCI DSS v3.2.1/10.3.3, CIS AWS v3.2.1/10.3.4, v3.2.1/10.3.5, v3.2.1/10.3.6, (26), .800-53.r5 SI-7 (PCIDSS8) PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::EC2::VPC
Règle AWS Config : vpc-flow-logs-enabled
Type de calendrier : Périodique
Paramètres :
-
trafficType
:REJECT
(non personnalisable)
Ce contrôle vérifie si les journaux Amazon VPC Flow sont trouvés et activésVPCs. Le type de trafic est défini surReject
. Le contrôle échoue si les journaux de VPC flux ne sont pas activés VPCs dans votre compte.
Note
Ce contrôle ne vérifie pas si Amazon VPC Flow Logs est activé via Amazon Security Lake pour le Compte AWS.
Grâce à la fonction VPC Flow Logs, vous pouvez capturer des informations sur le trafic d'adresses IP à destination et en provenance des interfaces réseau de votreVPC. Après avoir créé un journal de flux, vous pouvez consulter et récupérer ses données dans CloudWatch Logs. Pour réduire les coûts, vous pouvez également envoyer vos journaux de flux vers Amazon S3.
Security Hub vous recommande d'activer la journalisation des flux pour les rejets de paquets pourVPCs. Les journaux de flux fournissent une visibilité sur le trafic réseau qui traverse le réseau VPC et peuvent détecter le trafic anormal ou fournir des informations lors des flux de travail de sécurité.
Par défaut, l'enregistrement inclut des valeurs pour les différents composants du flux d'adresses IP, notamment la source, la destination et le protocole. Pour plus d'informations et une description des champs de journal, consultez VPCFlow Logs dans le guide de VPC l'utilisateur Amazon.
Correction
Pour créer un journal de VPC flux, consultez la section Créer un journal de flux dans le guide de VPC l'utilisateur Amazon. Après avoir ouvert la VPC console Amazon, choisissez Your VPCs. Pour Filtrer, choisissez Rejeter ou Tout.
[EC2.7] le chiffrement EBS par défaut doit être activé
Exigences associées : CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 (6) NIST.800-53.r5 SC-7 NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::::Account
Règle AWS Config : ec2-ebs-encryption-by-default
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le chiffrement au niveau du compte est activé par défaut pour Amazon Elastic Block Store (AmazonEBS). Le contrôle échoue si le chiffrement au niveau du compte n'est pas activé.
Lorsque le chiffrement est activé pour votre compte, les EBS volumes Amazon et les copies instantanées sont chiffrés au repos. Cela ajoute un niveau de protection supplémentaire à vos données. Pour plus d'informations, consultez la section Chiffrement par défaut dans le guide de EC2 l'utilisateur Amazon.
Notez que les types d'instance suivants ne prennent pas en charge le chiffrement : R1, C1 et M1.
Correction
Pour configurer le chiffrement par défaut pour les EBS volumes Amazon, consultez la section Chiffrement par défaut dans le guide de EC2 l'utilisateur Amazon.
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
Exigences associées : CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Catégorie : Protection > Sécurité du réseau
Gravité : Élevée
Type de ressource : AWS::EC2::Instance
Règle AWS Config : ec2-imdsv2-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la version des métadonnées de votre EC2 instance est configurée avec le service de métadonnées d'instance version 2 (IMDSv2). Le contrôle passe s'il HttpTokens
est défini sur obligatoire pourIMDSv2. Le contrôle échoue s'il HttpTokens
est défini suroptional
.
Vous utilisez les métadonnées de l'instance pour configurer ou gérer l'instance en cours d'exécution. IMDSPermet d'accéder à des informations d'identification temporaires fréquemment modifiées. Ces informations d'identification éliminent le besoin de coder en dur ou de distribuer des informations d'identification sensibles aux instances manuellement ou par programmation. Le IMDS est attaché localement à chaque EC2 instance. Il fonctionne sur une adresse IP spéciale « lien local » 169.254.169.254. Cette adresse IP n'est accessible que par le logiciel qui s'exécute sur l'instance.
La version 2 IMDS ajoute de nouvelles protections pour les types de vulnérabilités suivants. Ces vulnérabilités pourraient être utilisées pour essayer d'accéder auIMDS.
-
Pare-feu pour applications de sites Web ouverts
-
Proxies inverses ouverts
-
Vulnérabilités liées à la falsification de requêtes côté serveur () SSRF
-
Firewalls Open Layer 3 et traduction d'adresses réseau () NAT
Security Hub vous recommande de configurer vos EC2 instances avecIMDSv2.
Correction
Pour configurer EC2 les instances avecIMDSv2, consultez le chemin recommandé pour exiger IMDSv2 dans le guide de EC2 l'utilisateur Amazon.
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Élevée
Type de ressource : AWS::EC2::Instance
Règle AWS Config : ec2-instance-no-public-ip
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si EC2 les instances possèdent une adresse IP publique. Le contrôle échoue si le publicIp
champ est présent dans l'élément de configuration de l'EC2instance. Ce contrôle s'applique uniquement aux IPv4 adresses.
Une IPv4 adresse publique est une adresse IP accessible depuis Internet. Si vous lancez votre instance avec une adresse IP publique, elle est accessible depuis Internet. EC2 Une IPv4 adresse privée est une adresse IP qui n'est pas accessible depuis Internet. Vous pouvez utiliser IPv4 des adresses privées pour communiquer entre les EC2 instances d'un même réseau privé VPC ou de votre réseau privé connecté.
IPv6les adresses sont uniques au monde et sont donc accessibles depuis Internet. Cependant, par défaut, tous les sous-réseaux ont l'attribut d'IPv6adressage défini sur false. Pour plus d'informations à ce sujetIPv6, consultez la section « Adressage IP » VPC dans le guide de VPC l'utilisateur Amazon.
Si vous avez un cas d'utilisation légitime pour gérer EC2 des instances avec des adresses IP publiques, vous pouvez supprimer les résultats de ce contrôle. Pour plus d'informations sur les options d'architecture frontale, consultez le blog sur AWS l'architecture
Correction
Utilisez une valeur autre que celle par défaut VPC afin qu'aucune adresse IP publique ne soit attribuée par défaut à votre instance.
Lorsque vous lancez une EC2 instance dans une instance par défautVPC, une adresse IP publique lui est attribuée. Lorsque vous lancez une EC2 instance dans une instance autre que celle par défautVPC, la configuration du sous-réseau détermine si elle reçoit une adresse IP publique. Le sous-réseau possède un attribut permettant de déterminer si les nouvelles EC2 instances du sous-réseau reçoivent une adresse IP publique du pool d'IPv4adresses publiques.
Vous ne pouvez pas associer ou dissocier manuellement une adresse IP publique attribuée automatiquement à votre instance. EC2 Pour contrôler si votre EC2 instance reçoit une adresse IP publique, effectuez l'une des opérations suivantes :
-
Modifiez l'attribut d'adressage IP public de votre sous-réseau. Pour plus d'informations, consultez la section Modification de l'attribut d'IPv4adressage public de votre sous-réseau dans le guide de l'VPCutilisateur Amazon.
-
Activez ou désactivez la fonctionnalité d'adressage IP public lors du lancement. Cela remplace l'attribut d'adressage IP public du sous-réseau. Pour plus d'informations, consultez la section Attribuer une IPv4 adresse publique lors du lancement de l'instance dans le guide de EC2 l'utilisateur Amazon.
Pour plus d'informations, consultez la section IPv4Adresses publiques et DNS noms d'hôtes externes dans le guide de l'EC2utilisateur Amazon.
Si votre EC2 instance est associée à une adresse IP élastique, elle est accessible depuis Internet. EC2 Vous pouvez dissocier une adresse IP Elastic d’une instance ou d’une interface réseau à tout moment. Pour dissocier une adresse IP élastique, consultez Dissocier une adresse IP élastique dans le guide de EC2l'utilisateur Amazon.
[EC2.10] Amazon EC2 doit être configuré pour utiliser les VPC points de terminaison créés pour le service Amazon EC2
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
Catégorie : Protection > Configuration réseau sécurisée > accès API privé
Gravité : Moyenne
Type de ressource : AWS::EC2::VPC
Règle AWS Config : service-vpc-endpoint-enabled
Type de calendrier : Périodique
Paramètres :
-
serviceName
:ec2
(non personnalisable)
Ce contrôle vérifie si un point de terminaison de service pour Amazon EC2 est créé pour chacun d'entre euxVPC. Le contrôle échoue si aucun point de VPC terminaison VPC n'a été créé pour le EC2 service Amazon.
Ce contrôle évalue les ressources dans un seul compte. Il ne peut pas décrire les ressources extérieures au compte. Security Hub n'effectuant pas de vérifications entre comptes, vous constaterez VPCs que FAILED
les résultats seront partagés entre les comptes. AWS Config Security Hub vous recommande de supprimer ces FAILED
résultats.
Pour améliorer votre niveau de sécuritéVPC, vous pouvez configurer Amazon EC2 pour qu'il utilise un point de VPC terminaison d'interface. Les points de terminaison de l'interface sont AWS PrivateLink alimentés par une technologie qui vous permet d'accéder aux EC2 API opérations Amazon en privé. Il restreint tout le trafic réseau entre vous VPC et Amazon EC2 vers le réseau Amazon. Comme les points de terminaison ne sont pris en charge que dans la même région, vous ne pouvez pas créer de point de terminaison entre un VPC et un service d'une région différente. Cela permet d'éviter les EC2 API appels involontaires d'Amazon vers d'autres régions.
Pour en savoir plus sur la création de VPC points de terminaison pour AmazonEC2, consultez Amazon EC2 et les VPC points de terminaison d'interface dans le guide de EC2l'utilisateur Amazon.
Correction
Pour créer un point de terminaison d'interface vers Amazon EC2 depuis la VPC console Amazon, consultez la section Créer un VPC point de terminaison dans le AWS PrivateLink Guide. Pour le nom du service, choisissez com.amazonaws.region
.ec2.
Vous pouvez également créer et associer une politique de point de terminaison à votre VPC point de terminaison afin de contrôler l'accès à Amazon EC2API. Pour obtenir des instructions sur la création d'une politique de VPC point de terminaison, consultez la section Créer une politique de point de terminaison dans le guide de EC2 l'utilisateur Amazon.
[EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé
Exigences associées : PCI DSS v3.2.1/2.4, NIST .800-53.r5 CM-8 (1)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Faible
Type de ressource : AWS::EC2::EIP
Règle AWS Config : eip-attached
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les adresses IP élastiques (EIP) allouées à un VPC sont associées à des EC2 instances ou à des interfaces réseau élastiques (ENIs) en cours d'utilisation.
L'échec de la recherche indique que vous n'en avez peut-être pas utilisé EC2EIPs.
Cela vous aidera à maintenir un inventaire précis des actifs EIPs dans l'environnement de données de votre titulaire de carte (CDE).
Pour libérer une adresse IP non utiliséeEIP, consultez la section Libérer une adresse IP élastique dans le guide de EC2 l'utilisateur Amazon.
[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22
Exigences associées : CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21), (11), (16), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::EC2::SecurityGroup
Règle AWS Config : restricted-ssh
Type de calendrier : changement déclenché et périodique
Paramètres : Aucun
Ce contrôle vérifie si un groupe de EC2 sécurité Amazon autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22. Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous vous recommandons de faire en sorte qu'aucun groupe de sécurité n'autorise un accès entrant sans restriction au port 22. La suppression de la connectivité illimitée aux services de console distante, par exempleSSH, réduit l'exposition d'un serveur aux risques.
Correction
Pour interdire l'accès au port 22, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à unVPC. Pour obtenir des instructions, consultez la section Mettre à jour les règles des groupes de sécurité dans le guide de EC2 l'utilisateur Amazon. Après avoir sélectionné un groupe de sécurité dans la EC2 console Amazon, choisissez Actions, Modifier les règles entrantes. Supprimez la règle qui autorise l'accès au port 22.
[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389
Exigences associées : CIS AWS Foundations Benchmark v1.2.0/4.2
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::EC2::SecurityGroup
AWS Config règle : restricted-common-ports
(la règle créée estrestricted-rdp
)
Type de calendrier : changement déclenché et périodique
Paramètres : Aucun
Ce contrôle vérifie si un groupe de EC2 sécurité Amazon autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389. Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous vous recommandons de faire en sorte qu'aucun groupe de sécurité n'autorise un accès entrant sans restriction au port 3389. La suppression de la connectivité illimitée aux services de console distante, par exempleRDP, réduit l'exposition d'un serveur aux risques.
Correction
Pour interdire l'accès au port 3389, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à un. VPC Pour obtenir des instructions, consultez la section Mettre à jour les règles des groupes de sécurité dans le guide de VPC l'utilisateur Amazon. Après avoir sélectionné un groupe de sécurité dans la VPC console Amazon, choisissez Actions, Modifier les règles entrantes. Supprimez la règle qui autorise l'accès au port 3389.
[EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protection > Sécurité du réseau
Gravité : Moyenne
Type de ressource : AWS::EC2::Subnet
Règle AWS Config : subnet-auto-assign-public-ip-disabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'attribution du public IPs dans les sous-réseaux Amazon Virtual Private Cloud (AmazonVPC) est MapPublicIpOnLaunch
définie sur. FALSE
Le contrôle passe si le drapeau est réglé surFALSE
.
Tous les sous-réseaux possèdent un attribut qui détermine si une interface réseau créée dans le sous-réseau reçoit automatiquement une adresse publiqueIPv4. Les instances lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
Correction
Pour configurer un sous-réseau afin de ne pas attribuer d'adresses IP publiques, consultez Modifier l'attribut d'IPv4adressage public de votre sous-réseau dans le guide de VPCl'utilisateur Amazon. Décochez la case Activer l'attribution automatique d'une IPv4 adresse publique.
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
Exigences connexes : NIST .800-53.r5 CM-8 (1)
Catégorie : Protection > Sécurité du réseau
Gravité : Faible
Type de ressource : AWS::EC2::NetworkAcl
Règle AWS Config : vpc-network-acl-unused-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie s'il existe des listes de contrôle d'accès réseau (réseauACLs) non utilisées dans votre cloud privé virtuel (VPC). Le contrôle échoue si le réseau ACL n'est pas associé à un sous-réseau. Le contrôle ne génère pas de résultats pour un réseau par défaut inutiliséACL.
Le contrôle vérifie la configuration des éléments de la ressource AWS::EC2::NetworkAcl
et détermine les relations du réseauACL.
Si la seule relation est celle VPC du réseauACL, le contrôle échoue.
Si d'autres relations sont répertoriées, le contrôle est transféré.
Correction
Pour obtenir des instructions sur la suppression d'un réseau inutiliséACL, consultez Supprimer un réseau ACL dans le guide de VPC l'utilisateur Amazon. Vous ne pouvez pas supprimer le réseau par défaut ACL ou un ACL réseau associé à des sous-réseaux.
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
Exigences connexes : NIST.800-53.r5 AC-4 (21)
Catégorie : Protection > Sécurité du réseau
Gravité : Faible
Type de ressource : AWS::EC2::Instance
Règle AWS Config : ec2-instance-multiple-eni-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une EC2 instance utilise plusieurs interfaces réseau élastiques (ENIs) ou adaptateurs Elastic Fabric (EFAs). Ce contrôle passe si un seul adaptateur réseau est utilisé. Le contrôle inclut une liste de paramètres facultatifs pour identifier les paramètres autorisésENIs. Ce contrôle échoue également si une EC2 instance appartenant à un EKS cluster Amazon en utilise plusieursENI. Si vos EC2 instances doivent en avoir plusieurs dans ENIs le cadre d'un EKS cluster Amazon, vous pouvez supprimer ces résultats de contrôle.
Plusieurs ENIs peuvent entraîner des instances à double hébergement, c'est-à-dire des instances dotées de plusieurs sous-réseaux. Cela peut ajouter à la complexité de la sécurité du réseau et introduire des chemins et des accès non intentionnels au réseau.
Correction
Pour détacher une interface réseau d'une EC2 instance, consultez la section Détacher une interface réseau d'une instance dans le guide de EC2 l'utilisateur Amazon.
[EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés
Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Catégorie : Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
Gravité : Élevée
Type de ressource : AWS::EC2::SecurityGroup
Règle AWS Config : vpc-sg-open-only-to-authorized-ports
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
Liste des TCP ports autorisés |
IntegerList (minimum de 1 article et maximum de 32 articles) |
|
|
|
Liste des UDP ports autorisés |
IntegerList (minimum de 1 article et maximum de 32 articles) |
|
Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de EC2 sécurité Amazon autorise le trafic entrant illimité en provenance de ports non autorisés. L'état du contrôle est déterminé comme suit :
-
Si vous utilisez la valeur par défaut pour
authorizedTcpPorts
, le contrôle échoue si le groupe de sécurité autorise le trafic entrant sans restriction depuis un port autre que les ports 80 et 443. -
Si vous fournissez des valeurs personnalisées pour
authorizedTcpPorts
ouauthorizedUdpPorts
, le contrôle échoue si le groupe de sécurité autorise un trafic entrant illimité en provenance d'un port non répertorié. -
Si aucun paramètre n'est utilisé, le contrôle échoue pour tous les groupes de sécurité dotés d'une règle de trafic entrant illimité.
Les groupes de sécurité fournissent un filtrage dynamique du trafic réseau entrant et sortant vers. AWS Les règles des groupes de sécurité doivent respecter le principe de l'accès le moins privilégié. L'accès illimité (adresse IP avec le suffixe /0) augmente les risques d'activités malveillantes telles que le piratage, les denial-of-service attaques et la perte de données. À moins qu'un port ne soit spécifiquement autorisé, le port doit refuser un accès illimité.
Correction
Pour modifier un groupe de sécurité, consultez la section Travailler avec des groupes de sécurité dans le guide de VPC l'utilisateur Amazon.
[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé
Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Catégorie : Protection > Accès réseau restreint
Gravité : Critique
Type de ressource : AWS::EC2::SecurityGroup
AWS Config règle : restricted-common-ports
(la règle créée estvpc-sg-restricted-common-ports
)
Type de calendrier : changement déclenché et périodique
Paramètres : "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"
(non personnalisable)
Ce contrôle vérifie si le trafic entrant non restreint pour un groupe EC2 de sécurité Amazon est accessible aux ports spécifiés considérés comme présentant un risque élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic entrant depuis '0.0.0.0/0' ou ': :/0' vers ces ports.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . L'accès illimité (0.0.0.0/0) augmente les risques d'activités malveillantes, telles que le piratage, les denial-of-service attaques et la perte de données. Aucun groupe de sécurité ne doit autoriser un accès d'entrée illimité aux ports suivants :
-
20, 21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
110 (POP3)
-
135 (RPC)
-
143 (IMAP)
-
45 (CIFS)
-
1433, 1434 () MSSQL
-
3000 (frameworks de développement Web Go, Node.js et Ruby)
-
3306 (miSQL)
-
389 () RDP
-
433 (ahsp)
-
5000 (frameworks de développement Web en Python)
-
5432 (postgresql)
-
5500 (fcp-addr-srvr1)
-
5601 (OpenSearch Tableaux de bord)
-
8080 (proxy)
-
8088 (ancien HTTP port)
-
8888 (HTTPport alternatif)
-
9200 ou 9300 () OpenSearch
Correction
Pour supprimer des règles d'un groupe de sécurité, consultez la section Supprimer des règles d'un groupe de sécurité dans le guide de EC2 l'utilisateur Amazon.
[EC2.20] Les deux VPN tunnels pour une VPN connexion de AWS site à site doivent être actifs
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::EC2::VPNConnection
Règle AWS Config : vpc-vpn-2-tunnels-up
Type de calendrier : changement déclenché
Paramètres : Aucun
Un VPN tunnel est un lien crypté par lequel les données peuvent passer du réseau du client vers ou depuis AWS une connexion AWS site à siteVPN. Chaque VPN connexion inclut deux VPN tunnels que vous pouvez utiliser simultanément pour une haute disponibilité. Il est important de s'assurer que les deux VPN tunnels sont opérationnels pour confirmer une connexion sécurisée et hautement disponible entre un AWS VPC et votre réseau distant. VPN
Ce contrôle vérifie que les deux VPN tunnels fournis par AWS Site-to-Site VPN sont en état UP. Le contrôle échoue si l'un des tunnels ou les deux sont en DOWN état.
Correction
Pour modifier les options de VPN tunnel, reportez-vous à la section Modification des options de VPN tunnel de site à site dans le Guide de l'utilisateur de AWS site à site. VPN
[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389
Exigences associées : CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (21) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::EC2::NetworkAcl
Règle AWS Config : nacl-no-unrestricted-ssh-rdp
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une liste de contrôle d'accès réseau (réseauACL) autorise un accès illimité aux TCP ports par défaut pour le traficSSH/RDPentrant. Le contrôle échoue si l'entrée réseau ACL entrante autorise un CIDR bloc source de « 0.0.0.0/0 » ou « : :/0» pour les ports 22 ou 3389. TCP Le contrôle ne génère pas de résultats pour un réseau par défautACL.
L'accès aux ports d'administration des serveurs distants, tels que le port 22 (SSH) et le port 3389 (RDP), ne doit pas être accessible au public, car cela peut permettre un accès involontaire aux ressources de votre serveur. VPC
Correction
Pour modifier les règles de ACL trafic réseau, consultez la section Travailler avec le réseau ACLs dans le guide de VPC l'utilisateur Amazon.
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
Important
RETIREDFROMSPECIFICSTANDARDS— Security Hub a supprimé ce contrôle le 20 septembre 2023 de la norme AWS Foundational Security Best Practices et du NIST SP 800-53 Rev. 5. Ce contrôle fait toujours partie de Service-Managed Standard :. AWS Control Tower Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à EC2 des instances ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres EC2 contrôles, tels que EC2 .2, EC2 .13, EC2 .14, EC2 .18 et EC2 .19, pour surveiller vos groupes de sécurité.
Catégorie : Identifier - Inventaire
Gravité : Moyenne
Type de ressource :AWS::EC2::NetworkInterface
, AWS::EC2::SecurityGroup
Règle AWS Config : ec2-security-group-attached-to-eni-periodic
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si des groupes de sécurité sont attachés à des instances Amazon Elastic Compute Cloud (AmazonEC2) ou à une interface réseau élastique. Le contrôle échoue si le groupe de sécurité n'est pas associé à une EC2 instance Amazon ou à une interface Elastic Network.
Correction
Pour créer, attribuer et supprimer des groupes de sécurité, consultez la section Groupes de sécurité dans le guide de EC2 l'utilisateur Amazon.
[EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes
Exigences connexes : NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::EC2::TransitGateway
Règle AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les passerelles de EC2 transit acceptent automatiquement les VPC pièces jointes partagées. Ce contrôle échoue pour une passerelle de transit qui accepte automatiquement les demandes de VPC pièces jointes partagées.
L'activation permet de AutoAcceptSharedAttachments
configurer une passerelle de transit pour qu'elle accepte automatiquement toute demande de VPC pièce jointe entre comptes sans vérifier la demande ou le compte d'origine de la pièce jointe. Pour suivre les meilleures pratiques en matière d'autorisation et d'authentification, nous vous recommandons de désactiver cette fonctionnalité afin de garantir que seules les demandes de VPC pièces jointes autorisées sont acceptées.
Correction
Pour modifier une passerelle de transit, consultez la section Modifier une passerelle de transit dans le manuel Amazon VPC Developer Guide.
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
Exigences connexes : NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::EC2::Instance
Règle AWS Config : ec2-paravirtual-instance-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le type de virtualisation d'une EC2 instance est paravirtuel. Le contrôle échoue si le virtualizationType
de l'EC2instance est défini surparavirtual
.
Linux Amazon Machine Images (AMIs) utilise l'un des deux types de virtualisation suivants : machine virtuelle paravirtuelle (PV) ou machine virtuelle matérielle (HVM). Les principales différences entre les systèmes photovoltaïques résident dans la manière dont ils démarrent et dans la possibilité de tirer parti d'extensions matérielles spéciales (CPUréseau et stockage) pour de meilleures performances. HVM AMIs
Historiquement, les clients photovoltaïques affichaient de meilleures performances que HVM les clients dans de nombreux cas, mais en raison des améliorations apportées à la HVM virtualisation et de la disponibilité de pilotes photovoltaïques HVMAMIs, cela n'est plus vrai. Pour plus d'informations, consultez les types AMI de virtualisation Linux dans le guide de EC2 l'utilisateur Amazon.
Correction
Pour mettre à jour une EC2 instance vers un nouveau type d'instance, consultez Modifier le type d'instance dans le guide de EC2 l'utilisateur Amazon.
[EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Élevée
Type de ressource : AWS::EC2::LaunchTemplate
Règle AWS Config : ec2-launch-template-public-ip-disabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les modèles de EC2 lancement Amazon sont configurés pour attribuer des adresses IP publiques aux interfaces réseau lors du lancement. Le contrôle échoue si un modèle de EC2 lancement est configuré pour attribuer une adresse IP publique aux interfaces réseau ou si au moins une interface réseau possède une adresse IP publique.
Une adresse IP publique est une adresse accessible depuis Internet. Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau peuvent être accessibles depuis Internet. EC2les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos charges de travail.
Correction
Pour mettre à jour un modèle de EC2 lancement, consultez Modifier les paramètres de l'interface réseau par défaut dans le guide de l'utilisateur Amazon EC2 Auto Scaling.
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
Catégorie : Restauration > Résilience > Sauvegardes activées
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Gravité : Faible
Type de ressource : AWS::EC2::Volume
AWS Config règle : ebs-resources-protected-by-backup-plan
Type de calendrier : Périodique
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
Le contrôle produit un |
Booléen |
|
Aucune valeur par défaut |
Ce contrôle évalue si un EBS volume Amazon en cours est in-use
couvert par un plan de sauvegarde. Le contrôle échoue si un EBS volume n'est pas couvert par un plan de sauvegarde. Si vous définissez le backupVaultLockCheck
paramètre égal àtrue
, le contrôle est transféré uniquement si le EBS volume est sauvegardé dans un coffre-fort AWS Backup verrouillé.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité. Ils renforcent également la résilience de vos systèmes. L'inclusion de EBS volumes Amazon dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
Correction
Pour ajouter un EBS volume Amazon à un plan de AWS Backup sauvegarde, consultez la section Affectation de ressources à un plan de sauvegarde dans le Guide du AWS Backup développeur.
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::TransitGatewayAttachment
AWS Config règle : tagged-ec2-transitgatewayattachment
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une pièce jointe d'une passerelle de EC2 transit Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la pièce jointe à la passerelle de transit ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas toutes spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pièce jointe de la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une pièce jointe d'une passerelle de EC2 transit, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::TransitGatewayRouteTable
AWS Config règle : tagged-ec2-transitgatewayroutetable
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une table de routage d'Amazon EC2 Transit Gateway comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la table de routage de la passerelle de transit ne contient aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas toutes spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table de routage de la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à la table de routage d'une passerelle de EC2 transit, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.35] les interfaces EC2 réseau doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::NetworkInterface
AWS Config règle : tagged-ec2-networkinterface
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une interface EC2 réseau Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si l'interface réseau ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'interface réseau n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une interface EC2 réseau, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.36] les passerelles EC2 client doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::CustomerGateway
AWS Config règle : tagged-ec2-customergateway
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle EC2 client Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la passerelle client ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle client n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une passerelle EC2 client, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::EIP
AWS Config règle : tagged-ec2-eip
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une adresse IP Amazon EC2 Elastic possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si l'adresse IP élastique ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'adresse IP élastique n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une adresse IP EC2 élastique, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.38] les EC2 instances doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::Instance
AWS Config règle : tagged-ec2-instance
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une EC2 instance Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si l'instance ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une EC2 instance, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::InternetGateway
AWS Config règle : tagged-ec2-internetgateway
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle EC2 Internet Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la passerelle Internet ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle Internet n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une passerelle EC2 Internet, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.40] les EC2 NAT passerelles doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::NatGateway
AWS Config règle : tagged-ec2-natgateway
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle de traduction d'adresses EC2 réseau Amazon (NAT) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la NAT passerelle ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la NAT passerelle n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une EC2 NAT passerelle, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.41] le EC2 réseau ACLs doit être étiqueté
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::NetworkAcl
AWS Config règle : tagged-ec2-networkacl
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de contrôle d'accès au EC2 réseau Amazon (réseauACL) comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si le réseau ACL ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le réseau ACL n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un EC2 réseauACL, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.42] les tables de EC2 routage doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::RouteTable
AWS Config règle : tagged-ec2-routetable
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une table de EC2 routage Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la table de routage ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table de routage n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une table de EC2 routage, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.43] les groupes EC2 de sécurité doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::SecurityGroup
AWS Config règle : tagged-ec2-securitygroup
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe EC2 de sécurité Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si le groupe de sécurité ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sécurité n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un groupe EC2 de sécurité, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.44] les EC2 sous-réseaux doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::Subnet
AWS Config règle : tagged-ec2-subnet
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un EC2 sous-réseau Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si le sous-réseau ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le sous-réseau n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un EC2 sous-réseau, consultez la section Marquer vos EC2 ressources Amazon dans le guide de l'EC2utilisateur Amazon.
[EC2.45] les EC2 volumes doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::Volume
AWS Config règle : tagged-ec2-subnet
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un EC2 volume Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si le volume ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le volume n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un EC2 volume, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.46] Amazon VPCs doit être tagué
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::VPC
AWS Config règle : tagged-ec2-vpc
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un Amazon Virtual Private Cloud (AmazonVPC) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si Amazon VPC ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'Amazon VPC n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à unVPC, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::VPCEndpointService
AWS Config règle : tagged-ec2-vpcendpointservice
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un service Amazon VPC Endpoint possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si le service de point de terminaison ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service de point de terminaison n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un service de point de VPC terminaison Amazon, consultez la section Gérer les balises dans la section Configurer un service de point de terminaison du AWS PrivateLink Guide.
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::FlowLog
AWS Config règle : tagged-ec2-flowlog
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un journal de VPC flux Amazon contient des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si le journal de flux ne contient aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le journal de flux n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un journal de VPC flux Amazon, consultez la section Marquer un journal de flux dans le guide de VPC l'utilisateur Amazon.
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::VPCPeeringConnection
AWS Config règle : tagged-ec2-vpcpeeringconnection
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une connexion de VPC peering Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la connexion d'appairage ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre requiredTagKeys
ne sont pas présentes. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la connexion d'appairage n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une connexion de VPC peering Amazon, consultez la section Marquer vos EC2 ressources Amazon dans le guide de l'EC2utilisateur Amazon.
[EC2.50] les EC2 VPN passerelles doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::VPNGateway
AWS Config règle : tagged-ec2-vpngateway
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une EC2 VPN passerelle Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la VPN passerelle ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la VPN passerelle n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une EC2 VPN passerelle, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients
Exigences connexes : NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST
Catégorie : Identifier - Journalisation
Gravité : Faible
Type de ressource : AWS::EC2::ClientVpnEndpoint
AWS Config règle : ec2-client-vpn-connection-log-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la journalisation des connexions client est activée sur un AWS Client VPN terminal. Le contrôle échoue si la journalisation des connexions client n'est pas activée sur le terminal.
Les VPN points de terminaison client permettent aux clients distants de se connecter en toute sécurité aux ressources d'un cloud privé virtuel (VPC) dans AWS. Les journaux de connexion vous permettent de suivre l'activité des utilisateurs sur le VPN terminal et offrent une visibilité. Lorsque vous activez la journalisation des connexions, vous pouvez spécifier le nom d'un flux de journaux dans le groupe de journaux. Si vous ne spécifiez aucun flux de journal, le VPN service client en crée un pour vous.
Correction
Pour activer la journalisation des connexions, voir Activer la journalisation des connexions pour un point de VPN terminaison client existant dans le Guide de l'AWS Client VPN administrateur.
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::EC2::TransitGateway
AWS Config règle : tagged-ec2-transitgateway
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si une passerelle de EC2 transit Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys
. Le contrôle échoue si la passerelle de transit ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une passerelle de EC2 transit, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon.
[EC2.53] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants
Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/5.2
Catégorie : Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
Gravité : Élevée
Type de ressource : AWS::EC2::SecurityGroup
Règle AWS Config : vpc-sg-port-restriction-check
Type de calendrier : Périodique
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
La version IP |
Chaîne |
Non personnalisable |
|
|
Liste des ports qui doivent rejeter le trafic entrant |
IntegerList |
Non personnalisable |
|
Ce contrôle vérifie si un groupe de EC2 sécurité Amazon autorise l'entrée depuis 0.0.0.0/0 vers les ports d'administration de serveurs distants (ports 22 et 3389). Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 vers le port 22 ou 3389.
Les groupes de sécurité fournissent un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Nous recommandons qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration des serveurs distants, tels que SSH le port 22 et RDP le port 3389, en utilisant les TDP protocoles (6), UDP (17) ou ALL (-1). Permettre au public d'accéder à ces ports augmente la surface d'attaque des ressources et le risque de compromission des ressources.
Correction
Pour mettre à jour une règle EC2 de groupe de sécurité afin d'interdire le trafic entrant vers les ports spécifiés, consultez la section Mettre à jour les règles du groupe de sécurité dans le guide de EC2 l'utilisateur Amazon. Après avoir sélectionné un groupe de sécurité dans la EC2 console Amazon, choisissez Actions, Modifier les règles entrantes. Supprimez la règle qui autorise l'accès au port 22 ou au port 3389.
[EC2.54] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants
Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/5.3
Catégorie : Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
Gravité : Élevée
Type de ressource : AWS::EC2::SecurityGroup
Règle AWS Config : vpc-sg-port-restriction-check
Type de calendrier : Périodique
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
La version IP |
Chaîne |
Non personnalisable |
|
|
Liste des ports qui doivent rejeter le trafic entrant |
IntegerList |
Non personnalisable |
|
Ce contrôle vérifie si un groupe de EC2 sécurité Amazon autorise l'entrée depuis : :/0 vers les ports d'administration du serveur distant (ports 22 et 3389). Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis : :/0 vers le port 22 ou 3389.
Les groupes de sécurité fournissent un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Nous recommandons qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration des serveurs distants, tels que SSH le port 22 et RDP le port 3389, en utilisant les TDP protocoles (6), UDP (17) ou ALL (-1). Permettre au public d'accéder à ces ports augmente la surface d'attaque des ressources et le risque de compromission des ressources.
Correction
Pour mettre à jour une règle EC2 de groupe de sécurité afin d'interdire le trafic entrant vers les ports spécifiés, consultez la section Mettre à jour les règles du groupe de sécurité dans le guide de EC2 l'utilisateur Amazon. Après avoir sélectionné un groupe de sécurité dans la EC2 console Amazon, choisissez Actions, Modifier les règles entrantes. Supprimez la règle qui autorise l'accès au port 22 ou au port 3389.