Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli CSPM del Security Hub per Amazon SES
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Email Service (Amazon SES).
Questi controlli potrebbero non essere disponibili tuttiRegioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[SES.1] Gli elenchi di contatti SES devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::SES::ContactList
AWS Configregola: tagged-ses-contactlist (regola CSPM Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | 1—6 tasti tag che soddisfano i requisitiAWS. | Nessun valore predefinito |
Questo controllo verifica se un elenco di contatti di Amazon SES contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'elenco dei contatti non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'elenco dei contatti non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a moltiServizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un elenco di contatti di Amazon SES, consulta TagResourceAmazon SES API v2 Reference.
[SES.2] I set di configurazione SES devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::SES::ConfigurationSet
AWS Configregola: tagged-ses-configurationset (regola CSPM Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | 1—6 tasti tag che soddisfano i requisitiAWS. | Nessun valore predefinito |
Questo controllo verifica se un set di configurazione Amazon SES contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il set di configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il set di configurazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a moltiServizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un set di configurazione Amazon SES, consulta TagResourceAmazon SES API v2 Reference.
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
Categoria: Proteggi > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::SES::ConfigurationSet
Regola AWS Config: ses-sending-tls-required
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un set di configurazione Amazon SES richiede connessioni TLS. Il controllo fallisce se la politica TLS non è impostata su 'REQUIRE' per un set di configurazione.
Per impostazione predefinita, Amazon SES utilizza il TLS opportunistico, il che significa che le e-mail possono essere inviate in modo non crittografato se non è possibile stabilire una connessione TLS con il server di posta ricevente. L'applicazione del TLS per l'invio di e-mail garantisce che i messaggi vengano recapitati solo quando è possibile stabilire una connessione crittografata sicura. Questo aiuta a proteggere la riservatezza e l'integrità dei contenuti e-mail durante la trasmissione tra Amazon SES e il server di posta del destinatario. Se non è possibile stabilire una connessione TLS sicura, il messaggio non verrà recapitato, evitando la potenziale esposizione di informazioni sensibili.
Nota
Sebbene TLS 1.3 sia il metodo di consegna predefinito per Amazon SES, senza imporre i requisiti TLS tramite set di configurazione, i messaggi potrebbero essere recapitati in testo semplice se una connessione TLS fallisce. Per passare questo controllo, è necessario configurare la politica TLS 'REQUIRE' nelle opzioni di consegna del set di configurazione SES. Quando è richiesto TLS, i messaggi vengono recapitati solo se è possibile stabilire una connessione TLS con il server di posta ricevente.
Correzione
Per configurare Amazon SES in modo che richieda connessioni TLS per un set di configurazione, consulta Amazon SES e i protocolli di sicurezza nella Amazon SES Developer Guide.
