Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon Elastic File System
Ces contrôles sont liés aux ressources Amazon EFS.
Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour en savoir plus, consultez Disponibilité des contrôles par région.
[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger - Protection des données - Chiffrement des données au repos
Gravité : Moyenne
Type de ressource : AWS::EFS::FileSystem
Règle AWS Config : efs-encrypted-check
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si Amazon Elastic File System est configuré pour chiffrer les données du fichier à l'aide AWS KMS de. La vérification échoue dans les cas suivants.
-
Encryptedest défini surfalsedans la réponseDescribeFileSystems. -
La clé
KmsKeyIdde laDescribeFileSystemsréponse ne correspond pas au paramètreKmsKeyIdpourefs-encrypted-check.
Notez que ce contrôle n'utilise pas le paramètre KmsKeyId pour efs-encrypted-check. Il ne vérifie que la valeur de Encrypted.
Pour renforcer la sécurité de vos données sensibles dans Amazon EFS, vous devez créer des systèmes de fichiers chiffrés. Amazon EFS prend en charge le chiffrement des systèmes de fichiers au repos. Vous pouvez activer le chiffrement des données au repos lorsque vous créez un système de fichiers Amazon EFS. Pour en savoir plus sur le chiffrement Amazon EFS, consultez la section Chiffrement des données dans Amazon EFS dans le manuel Amazon Elastic File System User Guide.
Correction
Pour en savoir plus sur le chiffrement d'un nouveau système de fichiers Amazon EFS, consultez la section Chiffrement des données au repos dans le manuel Amazon Elastic File System User Guide.
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Catégorie : Restaurer > Résilience > Backup
Gravité : Moyenne
Type de ressource : AWS::EFS::FileSystem
Règle AWS Config : efs-in-backup-plan
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les systèmes de fichiers Amazon Elastic File System (Amazon EFS) sont ajoutés aux plans de sauvegarde dansAWS Backup. Le contrôle échoue si les systèmes de fichiers Amazon EFS ne sont pas inclus dans les plans de sauvegarde.
L'inclusion des systèmes de fichiers EFS dans les plans de sauvegarde vous aide à protéger vos données contre la suppression et la perte de données.
Correction
Pour activer les sauvegardes automatiques pour un système de fichiers Amazon EFS existant, consultez Getting started 4 : Create Amazon EFS automatic backups dans le manuel du AWS Backup développeur.
[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine
Exigences connexes : NIST.800-53.R5 AC-6 (10)
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::EFS::AccessPoint
Règle AWS Config : efs-access-point-enforce-root-directory
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les points d'accès Amazon EFS sont configurés pour appliquer un répertoire racine. Le contrôle échoue si la valeur de Path est définie sur / (le répertoire racine par défaut du système de fichiers).
Lors de l'application forcée d'un répertoire racine, le client NFS lié au point d'accès utilise le répertoire racine configuré sur le point d'accès au lieu du répertoire racine du système de fichiers. L'application d'un répertoire racine pour un point d'accès permet de restreindre l'accès aux données en garantissant que les utilisateurs du point d'accès ne peuvent accéder qu'aux fichiers du sous-répertoire spécifié.
Correction
Pour savoir comment appliquer un répertoire racine pour un point d'accès Amazon EFS, consultez la section Application d'un répertoire racine par un point d'accès dans le guide de l'utilisateur Amazon Elastic File System.
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
Exigences connexes : NIST.800-53.R5 AC-6 (2)
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::EFS::AccessPoint
Règle AWS Config : efs-access-point-enforce-user-identity
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les points d'accès Amazon EFS sont configurés pour renforcer l'identité d'un utilisateur. Ce contrôle échoue si aucune identité d'utilisateur POSIX n'est définie lors de la création du point d'accès EFS.
Les points d'accès Amazon EFS sont des points d'entrée spécifiques à l'application dans un système de fichiers EFS, lesquels facilitent la gestion de l'accès des applications aux jeux de données partagés. Les points d'accès peuvent appliquer de manière forcée une identité d'utilisateur, y compris les groupes POSIX de l'utilisateur, pour toutes les demandes de système de fichiers effectuées via le point d'accès. Les points d'accès peuvent également appliquer de manière forcée un répertoire racine différent pour le système de fichiers afin que les clients puissent uniquement accéder aux données stockées dans le répertoire spécifié ou dans les sous-répertoires.
Correction
Pour renforcer l'identité d'un utilisateur pour un point d'accès Amazon EFS, consultez la section Renforcer l'identité d'un utilisateur à l'aide d'un point d'accès dans le guide de l'utilisateur Amazon Elastic File System.
