の Security Hub CSPM コントロールCloudFormation

これらの Security Hub CSPM コントロールは、AWS CloudFormationサービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

重要

Security Hub CSPM は 2024 年 4 月にこのコントロールを廃止しました。詳細については、「Security Hub CSPM コントロールの変更ログ」を参照してください。

関連する要件: NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)

カテゴリ: 検出 > 検出サービス > アプリケーションモニタリング

重要度: 低

リソースタイプ : AWS::CloudFormation::Stack

AWS Config ルール : cloudformation-stack-notification-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Simple Notification Service の通知が CloudFormation スタックに統合されているかどうかをチェックします。CloudFormation スタックに関連付けられた SNS 通知がない場合、そのコントロールは失敗します。

SNS 通知を、CloudFormation スタックを使って設定すると、スタックで発生したイベントや変更を、ステークホルダーにすぐに通知することができます。

修正

CloudFormation スタックと SNS トピックを統合するには、「AWS CloudFormation ユーザーガイド」の「スタックの直接更新」を参照してください。

[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::CloudFormation::Stack

AWS Configrule: tagged-cloudformation-stack (カスタム Security Hub CSPM ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ	説明	タイプ	許可されているカスタム値	Security Hub CSPM のデフォルト値
requiredTagKeys	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。	StringList (最大 6 項目)	AWS 要件を満たす 1～6 個のタグキー。	デフォルト値なし

このコントロールは、AWS CloudFormationスタックにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。スタックにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、スタックにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWSリソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWSリソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とはAWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグにはAWS のサービス、 を含む多くのユーザーがアクセスできますAWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWSリソースのタグ付け」を参照してくださいAWS 全般のリファレンス。

修正

CloudFormation スタックにタグを追加するには、「AWS CloudFormation API リファレンス」の「CreateStack」を参照してください。

[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります

カテゴリ: 保護 > データ保護 > データ削除保護

重要度: 中

リソースタイプ : AWS::CloudFormation::Stack

AWS Config ルール : cloudformation-termination-protection-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、AWS CloudFormationスタックで終了保護が有効になっているかどうかを確認します。CloudFormation スタックで終了保護が有効になっていない場合、コントロールは失敗します。

CloudFormation は、関連するリソースを スタックと呼ばれる単一のユニットとして管理するのに役立ちます。スタックの削除保護を有効にして、スタックが誤って削除されるのを防ぐことができます。削除保護を有効にした状態でスタックを削除しようとすると、削除は失敗し、ステータスを含め、スタックが変更されることはありません。スタックの削除保護は、任意のステータスで設定できます ([DELETE_IN_PROGRESS] または [DELETE_COMPLETE] を除く)。

注記

スタックで削除保護を有効または無効にすると、そのスタックに属するネストされたスタックにも同じ選択が適用されます。ネストされたスタックの削除保護を直接有効または無効にすることはできません。終了保護が有効になっているスタックに属するネストされたスタックを直接削除することはできません。スタック名の横に [ネスト] と表示されている場合、そのスタックは、ネストされたスタックです。ネストされたスタックが属するルートスタックの削除保護のみ変更することができます。

修正

CloudFormation スタックで終了保護を有効にするには、「 AWS CloudFormationユーザーガイド」のCloudFormation スタックが削除されないように保護する」を参照してください。

[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です

カテゴリ: 検出 > セキュアなアクセス管理

重要度: 中

リソースタイプ : AWS::CloudFormation::Stack

AWS Config ルール : cloudformation-stack-service-role-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、AWS CloudFormationスタックにサービスロールが関連付けられているかどうかをチェックします。CloudFormation スタックにサービスロールが関連付けられていない場合、コントロールは失敗します。

CloudFormation スタックでサービスロールを使用すると、スタックを作成/更新するユーザーとCloudFormation がリソースを作成/更新するために必要なアクセス許可を分離することで、最小特権アクセスを実装できます。これにより、特権エスカレーションのリスクが軽減され、さまざまな運用ロール間のセキュリティ境界を維持するのに役立ちます。

注記

スタックの作成後に、スタックにアタッチされたサービスロールを削除することはできません。このスタックで操作を実行する権限を持つ他のユーザーは、iam:PassRole 権限の有無にかかわらず、このロールを使用できます。ユーザーが持つべきではないアクセス許可がロールに含まれる場合、ユーザーのアクセス許可を非意図的にエスカレーションできてしまいます。ロールが 最小特権 を付与することを確認します。

修正

サービスロールを CloudFormation スタックに関連付けるには、AWS CloudFormation「 ユーザーガイド」のCloudFormation サービスロール」を参照してください。