Amazon Simple Queue Service コントロール - AWS Security Hub
〔SQS.1] Amazon SQSキューは保管時に暗号化する必要があります〔SQS.2] SQSキューにはタグを付ける必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Simple Queue Service コントロール

これらのコントロールは Amazon SQSリソースに関連しています。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔SQS.1] Amazon SQSキューは保管時に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ: AWS::SQS::Queue

AWS Config ルール: sqs-queue-encrypted (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon SQSキューが保管中に暗号化されているかどうかをチェックします。キューが SQSマネージドキー (SSE-SQS) または () キー AWS Key Management Service (SSE-AWS KMS) で暗号化されていない場合、コントロールは失敗しますKMS。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存されているデータにアクセスするリスクが低減されます。サーバー側の暗号化 (SSE) は、 SQSが管理する暗号化キー (SSE-) または AWS KMS キー (SSE-SQS) を使用して、SQSキュー内のメッセージの内容を保護しますKMS。

修正

SQS キューSSE用に を設定するには、「Amazon Simple Queue Service デベロッパーガイドSSE」の「キューのサーバー側の暗号化 () の設定 (コンソール)」を参照してください。

〔SQS.2] SQSキューにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ: AWS::SQS::Queue

AWS Config ルール: tagged-sqs-queue (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、Amazon SQSキューにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。キューにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、キューにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。この戦略では、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Amazon SQSコンソールを使用して既存のキューにタグを追加するには、「Amazon Simple Queue Service デベロッパーガイド」の「Amazon SQSキューのコスト配分タグの設定 (コンソール)」を参照してください。