Amazon の Security Hub コントロール SNS - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon の Security Hub コントロール SNS

これら AWS Security Hub コントロールは、Amazon Simple Notification Service (Amazon SNS) サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性

〔SNS.1] SNSトピックは、保管時に を使用して暗号化する必要があります AWS KMS

重要

Security Hub は、2024 年 4 月にこのコントロールを から廃止しました。 AWS Foundational Security Best Practices v1.0.0 標準ですが、NISTSP 800-53 Rev. 5 標準にまだ含まれています。詳細については、「Security Hub コントロールの変更ログ」を参照してください。

関連する要件: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::SNS::Topic

AWS Config ルール: sns-encrypted-kms

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon SNSトピックが で管理されているキーを使用して保管中に暗号化されているかどうかをチェックします。 AWS Key Management Service (AWS KMS)。 SNS トピックがサーバー側の暗号化 () にKMSキーを使用しない場合、コントロールは失敗しますSSE。デフォルトでは、 はディスク暗号化を使用してメッセージとファイルSNSを保存します。このコントロールに合格するには、代わりに暗号化にKMSキーを使用することを選択する必要があります。これにより、セキュリティレイヤーが追加され、アクセスコントロールの柔軟性が向上します。

保管中のデータを暗号化すると、ディスクに保存されているデータが、認証されていないユーザーがアクセスするリスクが軽減されます。 AWS。 のAPIアクセス許可は、読み取り前にデータを復号化するために必要です。セキュリティを強化するために、 KMSキーを使用してSNSトピックを暗号化することをお勧めします。

修正

SNS トピックSSEで を有効にするには、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNSトピックのサーバー側の暗号化 (SSE) を有効にする」を参照してください。 を使用する前にSSE、 も設定する必要があります。 AWS KMS key トピックの暗号化とメッセージの暗号化と復号を許可する ポリシー。詳細については、「 の設定」を参照してください。 AWS KMS「Amazon Simple Notification Service デベロッパーガイド」の「 アクセス許可」。

〔SNS.2] トピックに送信される通知メッセージの配信ステータスのログ記録を有効にする必要があります

重要

Security Hub は 2024 年 4 月にこのコントロールを廃止しました。詳細については、「Security Hub コントロールの変更ログ」を参照してください。

関連する要件: NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::SNS::Topic

AWS Config ルール: sns-topic-message-delivery-notification-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、エンドポイントの Amazon SNSトピックに送信される通知メッセージの配信ステータスに対してログ記録が有効になっているかどうかをチェックします。メッセージの配信ステータス通知が有効になっていない場合、このコントロールは失敗します。

ログ記録は、サービスの信頼性、可用性、パフォーマンスを維持するための重要な要素です。メッセージの配信ステータスをログ記録することで、以下のようなオペレーション上のインサイトを得ることができます。

  • メッセージが Amazon SNSエンドポイントに配信されたかどうかを知る。

  • Amazon SNSエンドポイントから Amazon に送信されたレスポンスを識別しますSNS。

  • メッセージのドウェル時間 (発行タイムスタンプから Amazon SNSエンドポイントへの引き渡しまでの時間) を決定します。

修正

トピックの配信ステータスのログ記録を設定するには、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS メッセージ配信ステータス」を参照してください。

〔SNS.3] SNSトピックにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::SNS::Topic

AWS Config ルール: tagged-sns-topic (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList を満たすタグのリスト AWS の要件 No default value

このコントロールは、Amazon SNSトピックにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。トピックにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、トピックにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.

修正

SNS トピックにタグを追加するには、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNSトピックタグの設定」を参照してください。