[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés [Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS

Contrôles Security Hub pour Route 53

Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Route 53.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::Route53::HealthCheck

AWS Config règle : tagged-route53-healthcheck (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`requiredTagKeys`	Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse.	StringList	Liste des tags répondant aux AWS exigences	Aucune valeur par défaut

Ce contrôle vérifie si un bilan de santé d'Amazon Route 53 comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le bilan de santé ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le contrôle de santé n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Note

N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises à un bilan de santé de Route 53, consultez la section Désignation et balisage des contrôles de santé dans le guide du développeur Amazon Route 53.

[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS

Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::Route53::HostedZone

Règle AWS Config : route53-query-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la journalisation des requêtes DNS est activée pour une zone hébergée publique Amazon Route 53. Le contrôle échoue si la journalisation des requêtes DNS n'est pas activée pour une zone hébergée publique Route 53.

L'enregistrement des requêtes DNS pour une zone hébergée Route 53 répond aux exigences de sécurité et de conformité du DNS et garantit la visibilité. Les journaux incluent des informations telles que le domaine ou le sous-domaine interrogé, la date et l'heure de la requête, le type d'enregistrement DNS (par exemple, A ou AAAA) et le code de réponse DNS (par exemple, ou). NoError ServFail Lorsque la journalisation des requêtes DNS est activée, Route 53 publie les fichiers CloudWatch journaux sur Amazon Logs.

Correction

Pour enregistrer les requêtes DNS pour les zones hébergées publiques de Route 53, consultez la section Configuration de la journalisation des requêtes DNS dans le manuel Amazon Route 53 Developer Guide.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contrôles Amazon Redshift

Contrôles Amazon S3