Amazon 簡單隊列服務控制

這些控制項與 Amazon SQS 資源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

[SQS.1] Amazon SQS 佇列應該在靜態時加密

相關要求：電腦 -53.R5 CA-9 (1)、等級 5 厘米 -3 (6)、奈特．SC-13 SC-28 SC-28

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::SQS::Queue

AWS Config 規則:sqs-queue-encrypted(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon SQS 佇列是否在靜態時加密。如果佇列未使用 SQL 管理的金鑰 (SSE-SQS) 或 () 金鑰 (SSE-KMS) 加密，則控制項 AWS Key Management Service 會失敗。AWS KMS

靜態資料加密可降低未經授權使用者存取儲存在磁碟上資料的風險。伺服器端加密 (SSE) 會使用 SQL 管理的加密金鑰 (SSE-SQS) 或金鑰 (SSE-KMS) 來保護 SQS 佇列中訊息的內容。 AWS KMS

修補

若要為 SQS 佇列設定 SSE，請參閱 Amazon 簡單佇列服務開發人員指南中的設定佇列的伺服器端加密 (SSE) (主控台)。

[SQS.2] SQS 佇列應該加上標籤

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::SQS::Queue

AWS Config 規則:tagged-sqs-queue(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
requiredTagKeys	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合AWS 要求的標籤清單	No default value

此控制項會檢查 Amazon SQS 佇列是否具有標籤，其中包含參數requiredTagKeys中定義的特定金鑰。如果隊列沒有任何標籤鍵或沒有在參數中指定的所有鍵，則控制項失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果佇列未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤，它包含索引鍵和選用值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。當您使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 做為授權策略，該策略會根據標籤定義權限。您可以將標籤附加到 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或單獨的政策集。您可以設計這些 ABAC 原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱 ABAC 的用途為 AWS何？ 在 IAM 使用者指南中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳做法，AWS 請參閱 AWS 一般參考.

修補

若要使用 Amazon SQS 主控台將標籤新增至現有佇列，請參閱 Amazon 簡單佇列服務開發人員指南中的設定 Amazon SQS 佇列的成本分配標籤 (主控台)。