本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 控制 AWS AppSync
這些 Security Hub 控制項會評估 AWS AppSync 服務和資源。
這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性。
[AppSync2] AWS AppSync 應啟用欄位層級記錄
類別:識別 > 記錄日誌
嚴重性:中
資源類型:AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-logging-enabled
排程類型:已觸發變更
參數:
參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
---|---|---|---|---|
|
欄位記錄層級 |
列舉 |
|
|
這個控件檢查是否 AWS AppSync API已開啟欄位層級記錄功能。如果欄位解析程式記錄層級設定為「無」,則控制項會失敗。除非您提供自訂參數值來指出應啟用特定的記錄檔類型,否則如果欄位解析程式記錄層級為或ERROR
,Security Hub 會產生傳遞的發現項目。ALL
您可以使用記錄和指標來識別、故障診斷和最佳化您的 GraphQL 查詢。開啟記錄 AWS AppSync GraphQL 可協助您取得有關API請求和回應的詳細資訊、識別和回應問題,以及遵守法規要求。
修補
若要開啟記錄 AWS AppSync,請參閱中的安裝程式和組態 AWS AppSync 開發人員指南。
[AppSync.4] AWS AppSync GraphQL APIs 應該被標記
類別:識別 > 庫存 > 標籤
嚴重性:低
資源類型:AWS::AppSync::GraphQLApi
AWS Config 規則:tagged-appsync-graphqlapi
(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 | StringList | 符合的標籤列表 AWS 要求 | 無預設值 |
這個控件檢查是否 AWS AppSync GraphQL API 具有標籤,其中包含在參數requiredTagKeys
中定義的特定索引鍵。如果 GraphQL API 沒有任何標籤鍵,或者控制項沒有在參數requiredTagKeys
中指定的所有索引鍵,則控制項會失敗。如果requiredTagKeys
未提供參數,則控制項僅檢查標籤鍵是否存在,如果 GraphQL API 未使用任何索引鍵標記,則會失敗。系統標籤 (自動套用並以aws:
開頭) 會被忽略。
標籤是您指派給標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 在《IAM使用者指南》中。
注意
不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記 AWS中的資源 AWS 一般參考.
修補
若要將標籤新增至 AWS AppSync GraphQLAPI,請參閱 TagResource 中的 AWS AppSync API參考。
[AppSync.5] AWS AppSync GraphQL 不APIs應該使API用金鑰進行身份驗證
相關要求: NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6
分類:保護 > 安全存取管理 > 無密碼認證
嚴重性:高
資源類型:AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-authorization-check
排程類型:已觸發變更
參數:
AllowedAuthorizationTypes
:AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS
(不可定制)
此控制項會檢查您的應用程式是否使用API金鑰與 AWS AppSync GraphQL API。控制失敗,如果 AWS AppSync 使用API金鑰驗證 GraphQL API。
API索引鍵是應用程式中的硬式編碼值,由 AWS AppSync 當您建立未經驗證的 GraphQL 端點時提供服務。如果此API金鑰遭到入侵,您的端點容易遭到意外存取。除非您支援可公開存取的應用程式或網站,否則我們不建議您使用API金鑰進行驗證。
修補
若要設定您的授權選項 AWS AppSync GraphQLAPI,請參閱中的授權和身份驗證 AWS AppSync 開發人員指南。