Amazon 簡單通知服務控制 - AWS Security Hub
[SNS.1] SNS 主題應該使用靜態加密 AWS KMS[SNS.2] 傳送至主題的通知訊息應啟用傳送狀態的記錄功能[SNS.3] SNS 主題應該被標記

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 簡單通知服務控制

這些控制項與 Amazon SNS 資源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性

[SNS.1] SNS 主題應該使用靜態加密 AWS KMS

重要

安全中心於 2024 年 4 月從 AWS 基礎安全性最佳做法標準淘汰此控制項,但它仍包含在 NIST SP 800-53 修訂版 5 標準中。如需詳細資訊,請參閱 Security Hub 控制項的變更記錄

相關要求:電腦 -53.R5 CA-9 (1)、等級 5 厘米 -3 (6)、奈特.SC-13 SC-28 SC-28

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型:AWS::SNS::Topic

AWS Config 規則:sns-encrypted-kms

排程類型:已觸發變更

參數:

此控制項可檢查 Amazon SNS 主題是否使用 AWS Key Management Service (AWS KMS) 中管理的金鑰進行靜態加密。如果 SNS 主題不使用 KMS 金鑰進行伺服器端加密 (SSE),則控制項會失敗。根據預設,SNS 會使用磁碟加密來儲存訊息和檔案。若要傳遞此控制項,您必須改為選擇使用 KMS 金鑰進行加密。這增加了一層額外的安全性,並提供了更多的存取控制靈活性。

靜態資料加密可降低未經驗證的使用者存取儲存在磁碟上的資料的風險。 AWS在讀取數據之前,需要 API 權限才能解密數據。建議您使用 KMS 金鑰加密 SNS 主題,以增加一層安全性。

修補

若要為 SNS 主題啟用 SSE,請參閱 Amazon 簡單通知服務開發人員指南中的啟用 Amazon SNS 的伺服器端加密 (SSE) 主題。在您可以使用 SSE 之前,您還必須設定 AWS KMS key 原則以允許主題的加密和解密郵件。如需詳細資訊,請參Amazon 簡單通知服務開發人員指南中的設定 AWS KMS 許可。

[SNS.2] 傳送至主題的通知訊息應啟用傳送狀態的記錄功能

重要

安全中心於 2024 年 4 月淘汰此控制項。如需詳細資訊,請參閱 Security Hub 控制項的變更記錄

相關要求:AU-12,日本電子郵件

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::SNS::Topic

AWS Config 規則:sns-topic-message-delivery-notification-enabled

排程類型:已觸發變更

參數:

此控制項會檢查傳送至 Amazon SNS 主題的端點通知訊息的傳遞狀態是否啟用記錄功能。如果未啟用郵件的傳遞狀態通知,則此控制項會失敗。

記錄是維護服務可靠性、可用性和效能的重要組成部分。記錄郵件傳遞狀態有助於提供操作見解,如下所示:

  • 得知訊息是否已傳遞至 Amazon SNS 端點。

  • 識別從 Amazon SNS 端點傳送至 Amazon SNS 的回應。

  • 決定訊息停留時間 (發佈時間戳記與傳送至 Amazon SNS 端點之間的時間)。

修補

若要設定主題的交付狀態記錄,請參閱 Amazon SNS 訊息交付狀態,請參閱 Amazon 簡單通知服務開發人員指南

[SNS.3] SNS 主題應該被標記

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::SNS::Topic

AWS Config 規則:tagged-sns-topic(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 No default value

此控制項會檢查 Amazon SNS 主題是否具有包含參數中定義之特定金鑰的標籤requiredTagKeys。如果主題沒有任何標籤鍵,或者沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果主題未使用任何索引鍵標記,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤,它包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。當您使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 做為授權策略,該策略會根據標籤定義權限。您可以將標籤附加到 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或單獨的政策集。您可以設計這些 ABAC 原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱 ABAC 的用途為 AWS何? 在 IAM 使用者指南中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳做法,AWS 請參閱 AWS 一般參考.

修補

若要將標籤新增至 SNS 主題,請參閱 Amazon 簡單通知服務開發人員指南中的設定 Amazon SNS 主題標籤