本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub CSPM 控制項AWS Transfer Family
這些AWS Security Hub CSPM控制項會評估 AWS Transfer Family服務和資源。控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【Transfer.1】AWS Transfer Family工作流程應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Transfer::Workflow
AWS Configrule:tagged-transfer-workflow(自訂 Security Hub CSPM 規則)
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS要求的標籤金鑰。 |
No default value
|
此控制項會檢查AWS Transfer Family工作流程是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果工作流程沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果工作流程未標記任何索引鍵,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。
標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱什麼是 ABACAWS? IAM 使用者指南中的 。
注意
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考。
修補
將標籤新增至 Transfer Family 工作流程 (主控台)
開啟 AWS Transfer Family主控台。
在導覽窗格中,選擇 Workflows (工作流程)。然後,選取您要標記的工作流程。
選擇管理標籤,然後新增標籤。
【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線
相關要求:NIST.800-53.r5 CM-7、NIST.800-53.r5 IA-5、NIST.800-53.r5 SC-8、PCI DSS v4.0.1/4.2.1
類別:保護 > 資料保護 > data-in-transit加密
嚴重性:中
資源類型: AWS::Transfer::Server
AWS Config 規則:transfer-family-server-no-ftp
排程類型:定期
參數:無
此控制項會檢查AWS Transfer Family伺服器是否使用 FTP 以外的通訊協定進行端點連線。如果伺服器使用 FTP 通訊協定讓用戶端連線到伺服器的端點,則控制項會失敗。
FTP (檔案傳輸通訊協定) 透過未加密的頻道建立端點連線,讓透過這些頻道傳送的資料容易遭到攔截。使用 SFTP (SSH 檔案傳輸通訊協定)、FTPS (檔案傳輸通訊協定安全) 或 AS2 (適用性聲明 2) 可加密傳輸中的資料,提供額外的安全層,並可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操作網路流量。
修補
若要修改 Transfer Family 伺服器的通訊協定,請參閱AWS Transfer Family《 使用者指南》中的編輯檔案傳輸通訊協定。
【Transfer.3】 Transfer Family 連接器應該已啟用記錄
相關要求:NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::Transfer::Connector
AWS Config 規則:transfer-connector-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查是否為 AWS Transfer Family連接器啟用 Amazon CloudWatch 記錄。如果未為連接器啟用 CloudWatch 記錄,則控制項會失敗。
Amazon CloudWatch 是一種監控和可觀測性服務,可讓您查看 AWS資源,包括 AWS Transfer Family資源。對於 Transfer Family,CloudWatch 提供工作流程進度和結果的合併稽核和記錄。這包括 Transfer Family 為工作流程定義的數個指標。您可以設定 Transfer Family 在 CloudWatch 中自動記錄連接器事件。若要這樣做,請為連接器指定記錄角色。對於記錄角色,您可以建立 IAM 角色和以資源為基礎的 IAM 政策,以定義角色的許可。
修補
如需有關為 Transfer Family 連接器啟用 CloudWatch 記錄的資訊,請參閱《 使用者指南》中的AWS Transfer Family伺服器的 Amazon CloudWatch 記錄。 AWS Transfer Family
【Transfer.4】 Transfer Family 協議應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Transfer::Agreement
AWS Config 規則:transfer-agreement-tagged
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredKeyTags |
必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS要求的標籤金鑰。 | 無預設值 |
此控制項會檢查AWS Transfer Family協議是否具有 requiredKeyTags 參數指定的標籤索引鍵。如果協議沒有任何標籤索引鍵,或者它沒有 requiredKeyTags 參數指定的所有索引鍵,則控制項會失敗。如果您未指定 requiredKeyTags 參數的任何值,則控制項只會檢查標籤索引鍵是否存在,如果協議沒有任何標籤索引鍵,則 會失敗。控制項會忽略系統標籤,這些標籤會自動套用並具有 aws: 字首。
標籤是您建立並指派給 AWS資源的標籤。每個標籤都是由必要的標籤索引鍵和選用的標籤值所組成。您可以使用標籤,依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊,請參閱《IAM 使用者指南》中的根據具有 ABAC 授權的屬性定義許可。如需標籤的詳細資訊,請參閱標記AWS資源和標籤編輯器使用者指南。
注意
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取AWS 服務。它們不適用於私有或敏感資料。
修補
如需有關將標籤新增至AWS Transfer Family協議的資訊,請參閱《標記AWS資源和標籤編輯器使用者指南》中的資源標記方法。
【Transfer.5】 Transfer Family 憑證應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Transfer::Certificate
AWS Config 規則:transfer-certificate-tagged
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredKeyTags |
必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS要求的標籤金鑰。 | 無預設值 |
此控制項會檢查AWS Transfer Family憑證是否具有 requiredKeyTags 參數指定的標籤索引鍵。如果憑證沒有任何標籤索引鍵,或沒有 requiredKeyTags 參數指定的所有索引鍵,則控制項會失敗。如果您未指定 requiredKeyTags 參數的任何值,則控制項只會檢查標籤索引鍵是否存在,如果憑證沒有任何標籤索引鍵,則 會失敗。控制項會忽略系統標籤,這些標籤會自動套用並具有 aws: 字首。
標籤是您建立並指派給 AWS資源的標籤。每個標籤都是由必要的標籤索引鍵和選用的標籤值所組成。您可以使用標籤,依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊,請參閱《IAM 使用者指南》中的根據具有 ABAC 授權的屬性定義許可。如需標籤的詳細資訊,請參閱標記AWS資源和標籤編輯器使用者指南。
注意
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取AWS 服務。它們不適用於私有或敏感資料。
修補
如需將標籤新增至AWS Transfer Family憑證的資訊,請參閱《標記AWS資源和標籤編輯器使用者指南》中的資源標記方法。
【Transfer.6】 Transfer Family 連接器應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Transfer::Connector
AWS Config 規則:transfer-connector-tagged
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredKeyTags |
必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS要求的標籤金鑰。 | 無預設值 |
此控制項會檢查AWS Transfer Family連接器是否具有 requiredKeyTags 參數指定的標籤索引鍵。如果連接器沒有任何標籤索引鍵,或沒有 requiredKeyTags 參數指定的所有索引鍵,則控制項會失敗。如果您未指定 requiredKeyTags 參數的任何值,則控制項只會檢查標籤索引鍵是否存在,如果連接器沒有任何標籤索引鍵,則 會失敗。控制項會忽略系統標籤,這些標籤會自動套用並具有 aws: 字首。
標籤是您建立並指派給 AWS資源的標籤。每個標籤都是由必要的標籤索引鍵和選用的標籤值所組成。您可以使用標籤,依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊,請參閱《IAM 使用者指南》中的根據具有 ABAC 授權的屬性定義許可。如需標籤的詳細資訊,請參閱標記AWS資源和標籤編輯器使用者指南。
注意
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取AWS 服務。它們不適用於私有或敏感資料。
修補
如需將標籤新增至AWS Transfer Family連接器的詳細資訊,請參閱《標記AWS資源和標籤編輯器使用者指南》中的資源標記方法。
【Transfer.7】 轉移系列設定檔應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Transfer::Profile
AWS Config 規則:transfer-profile-tagged
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredKeyTags |
必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS要求的標籤金鑰。 | 無預設值 |
此控制項會檢查AWS Transfer Family設定檔是否具有 requiredKeyTags 參數指定的標籤索引鍵。如果設定檔沒有任何標籤索引鍵,或沒有 requiredKeyTags 參數指定的所有索引鍵,則控制項會失敗。如果您未指定 requiredKeyTags 參數的任何值,則控制項只會檢查標籤索引鍵是否存在,如果設定檔沒有任何標籤索引鍵,則 會失敗。控制項會忽略系統標籤,這些標籤會自動套用並具有 aws: 字首。控制項會評估本機設定檔和合作夥伴設定檔。
標籤是您建立並指派給 AWS資源的標籤。每個標籤都是由必要的標籤索引鍵和選用的標籤值所組成。您可以使用標籤,依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊,請參閱《IAM 使用者指南》中的根據具有 ABAC 授權的屬性定義許可。如需標籤的詳細資訊,請參閱標記AWS資源和標籤編輯器使用者指南。
注意
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取AWS 服務。它們不適用於私有或敏感資料。
修補
如需將標籤新增至AWS Transfer Family設定檔的詳細資訊,請參閱《標記AWS資源和標籤編輯器使用者指南》中的資源標記方法。