Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon SQS
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Simple Queue Service (Amazon SQS).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::SQS::Queue
AWS Config règle : sqs-queue-encrypted (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une file d'attente Amazon SQS est chiffrée au repos. Le contrôle échoue si la file d'attente n'est pas chiffrée à l'aide d'une clé gérée par SQS (SSE-SQS) ou d'une clé () AWS Key Management Service (SSE-KMS AWS KMS).
Le chiffrement des données au repos réduit le risque qu'un utilisateur non autorisé accède aux données stockées sur disque. Le chiffrement côté serveur (SSE) protège le contenu des messages dans les files d'attente SQS à l'aide de clés de chiffrement (SSE-SQS) ou de clés (SSE-KMS) gérées par SQS. AWS KMS
Correction
Pour configurer SSE pour une file d'attente SQS, consultez la section Configuration du chiffrement côté serveur (SSE) pour une file d'attente (console) dans le manuel Amazon Simple Queue Service Developer Guide.
[SQS.2] Les files d'attente SQS doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::SQS::Queue
AWS Config règle : tagged-sqs-queue (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si une file d'attente Amazon SQS possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si la file d'attente ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la file d'attente n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une file d'attente existante à l'aide de la console Amazon SQS, consultez la section Configuration des balises de répartition des coûts pour une file d'attente Amazon SQS (console) dans le guide du développeur Amazon Simple Queue Service.
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public
Gravité : Élevée
Type de ressource : AWS::SQS::Queue
Règle AWS Config : sqs-queue-no-public-access
Type de calendrier : changement déclenché
Paramètres : Aucun
Cela permet de vérifier si une politique d'accès Amazon SQS autorise l'accès public à une file d'attente SQS. Le contrôle échoue si une politique d'accès SQS autorise l'accès public à la file d'attente.
Une politique d'accès Amazon SQS peut autoriser l'accès public à une file d'attente SQS, ce qui peut permettre à un utilisateur anonyme ou à toute identité AWS IAM authentifiée d'accéder à la file d'attente. Les politiques d'accès SQS fournissent généralement cet accès en spécifiant le caractère générique (*) dans l'Principalélément de la politique, sans utiliser les conditions appropriées pour restreindre l'accès à la file d'attente, ou les deux. Si une politique d'accès SQS autorise l'accès public, des tiers peuvent être en mesure d'effectuer des tâches telles que recevoir des messages de la file d'attente, envoyer des messages à la file d'attente ou modifier la politique d'accès de la file d'attente. Cela peut entraîner des événements tels que l'exfiltration de données, un déni de service ou l'injection de messages dans la file d'attente par un acteur malveillant.
Correction
Pour plus d'informations sur la configuration de la politique d'accès SQS pour une file d'attente SQS, consultez la section Utilisation de politiques personnalisées avec le langage de politique d'accès Amazon SQS dans le guide du développeur Amazon Simple Queue Service.
