翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 の Security Hub コントロール
これらの AWS Security Hub コントロールは、Amazon Route 53 サービスとリソースを評価します。
これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Route53::HealthCheck
AWS Config ルール:tagged-route53-healthcheck
(カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon Route 53 ヘルスチェックに、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys
。ヘルスチェックにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys
。パラメータが指定されていない場合、コントロールrequiredTagKeys
はタグキーの存在のみをチェックし、ヘルスチェックがどのキーでもタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:
は無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Route 53 ヘルスチェックにタグを追加するには、「Amazon Route 53 デベロッパーガイド」の「ヘルスチェックの命名とタグ付け」を参照してください。
[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります
関連する要件: NIST.800-53.r5 AC-2 (4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::Route53::HostedZone
AWS Config ルール : route53-query-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon Route 53 パブリックホストゾーンでDNSクエリログ記録が有効になっているかどうかを確認します。Route 53 パブリックホストゾーンでDNSクエリログ記録が有効になっていない場合、コントロールは失敗します。
Route 53 ホストゾーンのDNSクエリのログ記録は、DNSセキュリティとコンプライアンスの要件に対処し、可視性を付与します。ログには、クエリされたドメインまたはサブドメイン、クエリの日時、DNSレコードタイプ (A や などAAAA)、DNSレスポンスコード ( NoError
や など) などの情報が含まれますServFail
。DNS クエリログ記録が有効になっている場合、Route 53 はログファイルを Amazon CloudWatch Logs に発行します。
修正
Route 53 パブリックホストゾーンのDNSクエリをログに記録するには、「Amazon Route 53 デベロッパーガイド」のDNS「クエリのログ記録の設定」を参照してください。