AWS CloudFormation 控制

這些控制項與資 CloudFormation 源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

[CloudFormation.1] CloudFormation 堆棧應與簡單通知服務集成（SNS）

重要

安全中心於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱 Security Hub 控制項的變更記錄。

相關要求：NIST.800-53.R5 四四 (12)、.800-53.R5 四 (5) NIST

分類:偵測設備 > 偵測服務 > 應用程式監控

嚴重性：低

資源類型：AWS::CloudFormation::Stack

AWS Config 規則：cloudformation-stack-notification-check

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon 簡易通知服務通知是否與 AWS CloudFormation 堆疊整合。如果沒有SNS通知與 CloudFormation 堆疊相關聯，則控制項會失敗。

使用 CloudFormation 堆疊設定SNS通知，有助於立即通知利益相關者堆疊發生的任何事件或變更。

修補

若要整合 CloudFormation 堆疊和SNS主題，請參閱AWS CloudFormation 使用者指南中的「直接更新堆疊」。

[CloudFormation.2] 應該標記 CloudFormation 堆棧

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::CloudFormation::Stack

AWS Config 規則:tagged-cloudformation-stack(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
requiredTagKeys	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合AWS 要求的標籤清單	無預設值

這個控制項會檢查 AWS CloudFormation 堆疊是否有標籤，其中包含在參數中定義的特定索引鍵requiredTagKeys。如果堆疊沒有任何標籤鍵，或者沒有在參數中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項僅檢查標籤鍵是否存在，如果堆疊未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤，它包含索引鍵和選用值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責的資源擁有者，以取得動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱有什麼ABAC用途 AWS？ 在《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳做法，AWS 請參閱 AWS 一般參考.

修補

若要將標籤新增至 CloudFormation 堆疊，請參閱〈AWS CloudFormation API參考〉CreateStack中的〈〉。