【Security Hub修復手順】[AppSync.2] AWS AppSync は、リクエストレベルとフィールドレベルのロギングを有効にする必要があります

【Security Hub修復手順】[AppSync.2] AWS AppSync は、リクエストレベルとフィールドレベルのロギングを有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

#AWS Security Hub
#AWS
#AWS AppSync
吉田 岳史

吉田 岳史

facebook logohatena logotwitter logo
Clock Icon2024.08.29

こんにちは!AWS事業本部の吉田です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[AppSync.2] AWS AppSync は、リクエストレベルとフィールドレベルのロギングを有効にする必要があります

[AppSync.2] AWS AppSync should have field-level logging enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

AWS AppSync ではリクエストレベルとフィールドレベルの2種類のログを記録できます。
本コントロールは、リクエストレベルとフィールドレベルのログについて、両方とも有効化されていることをチェックします。

リクエストレベルのログでは、AppSync APIへのリクエスト及びレスポンスの HTTP ヘッダーやリクエスト内で実行されたGraphQLクエリ等が記録されます。
フィールドレベルのログでは、スキーマ内で定義された各フィールドに対するリクエストマッピングやレスポンスマッピング、トレース情報等が記録されます。

こちらの機能ではCloudWatch Logsが必須になるため、追加費用を考慮した上で有効化して下さい。
また、本番環境では障害時調査や監査等の目的で取得するよう検討すべきですが、検証環境では必須ではありません。
そのため、環境によってはコントロールの無効化も検討してください。

修復手順

  1. 対象となるAppSyncを選択し、「編集」をクリックします。
    スクリーンショット 2024-08-29 9.00.27.png

  2. 左サイドバーの「設定」をクリックします。
    スクリーンショット 2024-08-29 9.00.45.png

  3. API設定の「編集」をクリックします。
    スクリーンショット 2024-08-29 9.01.07.png

  4. ログ記録の「ログ記録を有効化」をクリックします。
    スクリーンショット 2024-08-29 9.01.27.png

  5. ログ記録の各設定が表示されます。
    スクリーンショット 2024-08-29 9.02.20.png

「詳細なコンテンツを含める」にチェックを入れることで、リクエストレベルのログが取得出来るようになりますので、チェックします。
「フィールドリゾルバーのログレベル」は、

  • なし
  • エラー
  • すべて

の3つがあります。
障害調査などの際にスムーズに調査が出来るように、まず「すべて」で設定することをおすすめします。
「既存のロールを作成または使用する」は、AppSyncがログをCloudWatchにログ送信する際に利用するIAMロールの設定です。
「新しいロール」を選択した場合、以下のポリシーがアタッチされたIAMロールが自動作成されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:ap-northeast-1:[アカウントID]:*"
            ]
        }
    ]
}

任意の名前にしたい、権限を絞りたいという場合は、
事前にIAMロールを作成し、「既存の役割」で作成したIAMロールを設定してください。

  1. 設定が終わりましたら、右下の「保存」をクリックします。
    スクリーンショット 2024-08-29 9.02.50.png

  2. ログ設定が設定されていることを確認します。
    スクリーンショット 2024-08-29 9.03.26.png

「CloudWatch log group」には、作成されたロググループのリンクがあります。
ロググループの命名規則は、「/aws/appsync/apis/[API ID]」です。
事前にIAMロールを作成する際は、この命名規則を元にポリシーのリソースを絞ってください。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

【Security Hub修復手順】[KMS.5] KMSキーはパブリックに公開すべきではありません

User avatar
吉田 岳史
2024.11.14
【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

【Security Hub修復手順】 [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

User avatar
吉田 岳史
2024.11.07
[小ネタ]Security Hubの重要度の基準を調べてみた

[小ネタ]Security Hubの重要度の基準を調べてみた

User avatar
和田響
2024.11.05
(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

(สำหรับมือใหม่) AWS Security Hub คืออะไร? อธิบายจากข้อมูลทั่วไป ประโยชน์ของการใช้งานจนถึงค่าใช้จ่าย

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.