の Security Hub CSPM コントロールAWS AppSync - AWSSecurity Hub
[AppSync.1]AWS AppSyncAPI キャッシュは保管時に暗号化する必要があります[AppSync.2]AWS AppSync フィールドレベルのログ記録を有効にする必要があります[AppSync.4]AWS AppSyncGraphQL APIsにはタグを付ける必要があります[AppSync.5]AWS AppSyncGraphQL APIsは API キーで認証しないでください[AppSync.6]AWS AppSyncAPI キャッシュは転送中に暗号化する必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub CSPM コントロールAWS AppSync

これらの Security Hub CSPM コントロールは、AWS AppSyncサービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[AppSync.1]AWS AppSyncAPI キャッシュは保管時に暗号化する必要があります

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-cache-ct-encryption-at-rest

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、AWS AppSyncAPI キャッシュが保管中に暗号化されているかどうかをチェックします。API キャッシュが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。

修正

AWS AppSyncAPI のキャッシュを有効にした後で暗号化設定を変更することはできません。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「AWS AppSync デベロッパーガイド」の「キャッシュ暗号化」を参照してください。

[AppSync.2]AWS AppSync フィールドレベルのログ記録を有効にする必要があります

関連する要件: PCI DSS v4.0.1/10.4.2

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-logging-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 タイプ 許可されているカスタム値 Security Hub CSPM のデフォルト値

fieldLoggingLevel

フィールドのログ記録レベル

列挙型

ERROR, ALL, INFO, DEBUG

No default value

このコントロールは、AWS AppSyncAPI でフィールドレベルのログ記録が有効になっているかどうかをチェックします。フィールドリゾルバーのログレベルが [なし] に設定されている場合、コントロールは失敗します。特定のログタイプを有効にする必要があることを示すカスタムパラメータ値を指定しない限り、フィールドリゾルバーのログレベルが ERRORまたは の場合、Security Hub CSPM は渡された結果を生成しますALL

ログおよびメトリクスを使用して、GraphQL クエリを特定、トラブルシューティング、最適化できます。AWS AppSyncGraphQL のログ記録を有効にすると、API リクエストとレスポンスに関する詳細情報の取得、問題の特定と対応、規制要件への準拠に役立ちます。

修正

のログ記録を有効にするにはAWS AppSync、 AWS AppSyncデベロッパーガイド「セットアップと設定」を参照してください。

[AppSync.4]AWS AppSyncGraphQL APIsにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Configrule: tagged-appsync-graphqlapi (カスタム Security Hub CSPM ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 タイプ 許可されているカスタム値 Security Hub CSPM のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 StringList (最大 6 項目) AWS 要件を満たす 1~6 個のタグキー。 デフォルト値なし

このコントロールは、AWS AppSyncGraphQL API にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。GraphQL API にタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、GraphQL API にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWSリソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWSリソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイド「ABAC とはAWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグにはAWS のサービス、 を含む多くのユーザーがアクセスできますAWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWSリソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

AWS AppSyncGraphQL API にタグを追加するには、 AWS AppSyncAPI リファレンスTagResourceの「」を参照してください。

[AppSync.5]AWS AppSyncGraphQL APIsは API キーで認証しないでください

関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証

重要度:

リソースタイプ : AWS::AppSync::GraphQLApi

AWS Config ルール : appsync-authorization-check

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

  • AllowedAuthorizationTypes: AWS_LAMBDA,AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS (カスタマイズ不可)

このコントロールは、アプリケーションが API キーを使用して AWS AppSyncGraphQL API を操作するかどうかをチェックします。AWS AppSyncGraphQL API が API キーで認証されている場合、コントロールは失敗します。

API キーは、認証されていない GraphQL エンドポイントを作成するときに AWS AppSyncサービスによって生成されるアプリケーション内のハードコードされた値です。この API キーが侵害されると、エンドポイントは意図しないアクセスに対して脆弱になります。一般にアクセス可能なアプリケーションやウェブサイトをサポートしている場合を除き、API キーを認証に使用することはお勧めしません。

修正

AWS AppSyncGraphQL API の認可オプションを設定するには、「 AWS AppSyncデベロッパーガイド」の「認可と認証」を参照してください。

[AppSync.6]AWS AppSyncAPI キャッシュは転送中に暗号化する必要があります

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::AppSync::ApiCache

AWS Config ルール : appsync-cache-ct-encryption-in-transit

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、AWS AppSyncAPI キャッシュが転送中に暗号化されているかどうかをチェックします。API キャッシュが転送中に暗号化されていない場合、コントロールは失敗します。

転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。

修正

AWS AppSyncAPI のキャッシュを有効にした後で暗号化設定を変更することはできません。代わりに、キャッシュを削除し、暗号化を有効にして再作成する必要があります。詳細については、「AWS AppSync デベロッパーガイド」の「キャッシュ暗号化」を参照してください。