本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Simple Notification Service 控件
这些控件与 Amazon SNS 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[SNS.1] SNS 主题应使用以下方法进行静态加密 Amazon KMS
重要
Security Hub将于2024年3月从 Amazon 基础安全最佳实践标准中删除该控件,但仍将包含在NIST SP 800-53 Rev. 53标准中。有关更多信息,请参阅 Security Hub 控件的更改日志。
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。
类别:保护 > 数据保护 > 静态数据加密
严重性:中
资源类型:AWS::SNS::Topic
Amazon Config 规则:sns-encrypted-kms
计划类型:已触发变更
参数:无
此控件检查是否使用在 Amazon Key Management Service ()Amazon KMS中管理的密钥对 Amazon SNS 主题进行静态加密。如果 SNS 主题不使用 KMS 密钥进行服务器端加密 (SSE),则控制失败。默认情况下,SNS 使用磁盘加密存储消息和文件。要通过此控制,必须选择改用 KMS 密钥进行加密。这增加了额外的安全层,并提供了更大的访问控制灵活性。
对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 Amazon需要有 API 权限才能解密数据,然后才能读取数据。为了增加安全性,我们建议使用 KMS 密钥加密 SNS 主题。
修复
要为 SNS 主题启用 SSE,请参阅《亚马逊简单通知服务开发者指南》中的 “为亚马逊 SNS 启用服务器端加密 (SSE)” 主题。在使用 SSE 之前,还必须配置 Amazon KMS key 策略以允许对主题进行加密以及对消息进行加密和解密。有关更多信息,请参阅《Amazon 简单通知服务开发者指南》中的配置 Amazon KMS 权限。
[SNS.2] 应为发送到主题的通知消息启用传输状态记录
重要
Security Hub 将于 2024 年 3 月取消此控件。有关更多信息,请参阅 Security Hub 控件的更改日志。
相关要求:NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2。
类别:识别 > 日志记录
严重性:中
资源类型:AWS::SNS::Topic
Amazon Config 规则:sns-topic-message-delivery-notification-enabled
计划类型:已触发变更
参数:无
此控件检查是否启用记录发送到端点的 Amazon SNS 主题的通知消息的传输状态。如果未启用邮件的传输状态通知,则此控件将失败。
日志记录是维护服务的可靠性、可用性和性能的重要组成部分。记录消息传送状态有助于提供操作见解,例如:
了解消息是否已传输到 Amazon SNS 端点。
识别从 Amazon SNS 端点发送到 Amazon SNS 的响应。
确定消息停留时间(发布时间戳和移交到 Amazon SNS 端点之间的时间)。
修复
要为主题配置传输状态日志,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 消息传输状态。