Amazon の Security Hub コントロール SQS - AWS Security Hub
〔SQS.1] Amazon SQSキューは保管時に暗号化する必要があります〔SQS.2] SQSキューにはタグを付ける必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon の Security Hub コントロール SQS

これらの AWS Security Hub コントロールは、Amazon Simple Queue Service (Amazon SQS) サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔SQS.1] Amazon SQSキューは保管時に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9 (1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28 (1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::SQS::Queue

AWS Config ルール: sqs-queue-encrypted (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon SQSキューが保管中に暗号化されているかどうかをチェックします。キューが SQSマネージドキー (SSE-SQS) または () キー AWS Key Management Service (SSE-AWS KMS) で暗号化されていない場合、コントロールは失敗しますKMS。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存されているデータにアクセスするリスクが低減されます。サーバー側の暗号化 (SSE) は、 SQSが管理する暗号化キー (SSE-) または AWS KMS キー (SSE-SQS) を使用して、SQSキュー内のメッセージの内容を保護しますKMS。

修正

SQS キューSSEの を設定するには、Amazon Simple Queue Service デベロッパーガイドの「キューのサーバー側の暗号化 (SSE) の設定 (コンソール)」を参照してください。

〔SQS.2] SQSキューにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::SQS::Queue

AWS Config ルール: tagged-sqs-queue (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、Amazon SQSキューにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。キューにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、キューにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Amazon SQSコンソールを使用して既存のキューにタグを追加するには、「Amazon Simple Queue Service デベロッパーガイド」の「Amazon SQSキューのコスト配分タグの設定 (コンソール)」を参照してください。