Controles do Security Hub para o CloudFormation
Esses controles do Security Hub avaliam o serviço e os recursos do AWS CloudFormation.
Esses controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[CloudFormation.1] As pilhas do CloudFormation devem ser integradas ao Simple Notification Service (SNS)
Importante
O Security Hub descontinuou esse controle em abril de 2024. Para obter mais informações, consulte Log de alterações dos controles do CSPM do Security Hub.
Requisitos relacionados: NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)
Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos
Gravidade: baixa
Tipo de recurso: AWS::CloudFormation::Stack
AWS Config Regra: cloudformation-stack-notification-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma notificação do Amazon Simple Notification Service está integrada a uma pilha do CloudFormation. O controle falhará em uma pilha do CloudFormation se nenhuma notificação do SNS estiver associada a ela.
Configurar uma notificação de SNS com sua pilha do CloudFormation ajuda a notificar imediatamente as partes interessadas sobre quaisquer eventos ou alterações que ocorram com a pilha.
Correção
Para integrar uma pilha do CloudFormation e um tópico do SNS, consulte Atualização direta de pilhas no Guia do usuário do AWS CloudFormation.
[CloudFormation.2] As pilhas do CloudFormation devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::CloudFormation::Stack
Regra AWS Config: tagged-cloudformation-stack (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma pilha do AWS CloudFormation tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a pilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a pilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a uma pilha do CloudFormation, consulte CreateStack na AWS CloudFormation API Reference.
