の Security Hub コントロール AWS CloudFormation - AWS Security Hub
〔CloudFormation.1] CloudFormation スタックは Simple Notification Service と統合する必要があります (SNS)〔CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール AWS CloudFormation

これらの Security Hub コントロールは、 を評価します。 AWS CloudFormation サービスとリソース。

これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性

〔CloudFormation.1] CloudFormation スタックは Simple Notification Service と統合する必要があります (SNS)

重要

Security Hub は 2024 年 4 月にこのコントロールを廃止しました。詳細については、「Security Hub コントロールの変更ログ」を参照してください。

関連する要件: NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)

カテゴリ: 検出 > 検出サービス > アプリケーションモニタリング

重要度:

リソースタイプ : AWS::CloudFormation::Stack

AWS Config ルール: cloudformation-stack-notification-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Simple Notification Service 通知が と統合されているかどうかをチェックします。 AWS CloudFormation スタック。SNS 通知がスタックに関連付けられていない場合、 CloudFormation スタックのコントロールは失敗します。

CloudFormation スタックでSNS通知を設定すると、スタックで発生したイベントや変更を利害関係者にすぐに通知できます。

修正

CloudFormation スタックと SNSトピックを統合するには、 の「スタックを直接更新する」を参照してください。 AWS CloudFormation ユーザーガイド

〔CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::CloudFormation::Stack

AWS Config ルール: tagged-cloudformation-stack (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList を満たすタグのリスト AWS の要件 デフォルト値なし

このコントロールは、 が AWS CloudFormation スタックには、パラメータ で定義された特定のキーを持つタグがありますrequiredTagKeys。スタックにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、スタックにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。

タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.

修正

CloudFormation スタックにタグを追加するには、 のCreateStack「」を参照してください。 AWS CloudFormation API リファレンス