Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Regionale Beschränkungen der Security Hub CSPM-Steuerungen
Einige AWS Security Hub CSPM-Steuerelemente sind nicht in allen verfügbar. AWS-Regionen Auf dieser Seite wird angegeben, welche Steuerelemente in bestimmten Regionen nicht verfügbar sind.
Auf der Security Hub CSPM-Konsole erscheint ein Steuerelement nicht in der Kontrollliste, wenn es in der Region, in der Sie derzeit angemeldet sind, nicht verfügbar ist. Die Ausnahme ist eine Aggregationsregion. Wenn Sie eine Aggregationsregion festlegen und sich bei dieser Region anmelden, werden in der Konsole Steuerelemente angezeigt, die in der Aggregationsregion oder einer oder mehreren verknüpften Regionen verfügbar sind.
AWS-Regionen
USA Ost (Nord-Virginia)
Die folgenden Steuerelemente werden in der Region USA Ost (Nord-Virginia) nicht unterstützt.
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
USA Ost (Ohio)
Die folgenden Steuerelemente werden in der Region USA Ost (Ohio) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
USA West (Nordkalifornien)
Die folgenden Steuerelemente werden in der Region USA West (Nordkalifornien) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
USA West (Oregon)
Die folgenden Steuerelemente werden in der Region USA West (Oregon) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Afrika (Kapstadt)
Die folgenden Steuerelemente werden in der Region Afrika (Kapstadt) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Asien-Pazifik (Hongkong)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Hongkong) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Hyderabad)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Hyderabad) nicht unterstützt.
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Jakarta)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Jakarta) nicht unterstützt.
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Malaysia)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Malaysia) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.2]AWS BackupWiederherstellungspunkte sollten markiert werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
-
[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.38] RDS für PostgreSQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.39] RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.40] RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
-
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Melbourne)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Melbourne) nicht unterstützt.
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Mumbai)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Mumbai) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Asien-Pazifik (Neuseeland)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Neuseeland) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein
-
[APIGateway.3] API Gateway REST API-Phasen solltenAWS X-RayAblaufverfolgung aktiviert
-
[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein
-
[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.2]AWS BackupWiederherstellungspunkte sollten markiert werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
-
[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[EKS.9] EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
[ELB.16] Application Load Balancers sollten mit einem verknüpft seinAWS WAFWeb-ACL
-
[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.38] RDS für PostgreSQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.39] RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.40] RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
-
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
-
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden vonAWS Systems Manager
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.1]AWS Transfer FamilyWorkflows sollten markiert werden
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.11]AWS WAFDie Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Osaka)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Osaka) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Seoul)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Seoul) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Asien-Pazifik (Singapur)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Singapur) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Asien-Pazifik (Sydney)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Sydney) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Asien-Pazifik (Taipeh)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Taipeh) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein
-
[APIGateway.3] API Gateway REST API-Phasen solltenAWS X-RayAblaufverfolgung aktiviert
-
[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein
-
[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.2]AWS BackupWiederherstellungspunkte sollten markiert werden
-
[Backup.3]AWS BackupTresore sollten mit Tags versehen werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Backup.5]AWS BackupBackup-Pläne sollten mit einem Tag versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
[CloudFormation.2] CloudFormation Stacks sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.33] EC2 Transit Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden
-
[EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden
-
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
-
[EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden
-
[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
-
[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[EKS.9] EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
[ELB.16] Application Load Balancers sollten mit einem verknüpft seinAWS WAFWeb-ACL
-
[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.1] Für Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein
-
[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben
-
[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.23] IAM Access Analyzer-Analyzer sollten gekennzeichnet sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[KMS.3]AWS KMS keyssollte nicht unbeabsichtigt gelöscht werden
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
-
[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren
-
[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.29] Snapshots von RDS-DB-Clustern sollten mit Tags versehen werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.38] RDS für PostgreSQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.39] RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.40] RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
-
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
-
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
-
[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mitAWS KMS keys
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
-
[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden vonAWS Systems Manager
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[StepFunctions.2] Step Functions Functions-Aktivitäten sollten markiert werden
-
[Transfer.1]AWS Transfer FamilyWorkflows sollten markiert werden
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.11]AWS WAFDie Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Thailand)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Thailand) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.2]AWS BackupWiederherstellungspunkte sollten markiert werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
-
[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[EKS.9] EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.38] RDS für PostgreSQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.39] RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.40] RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
-
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.1]AWS Transfer FamilyWorkflows sollten markiert werden
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Tokio)
Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Tokio) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Kanada (Zentral)
Die folgenden Steuerelemente werden in der Region Kanada (Mitte) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Kanada West (Calgary)
Die folgenden Steuerelemente werden in der Region Kanada West (Calgary) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.38] RDS für PostgreSQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.39] RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.40] RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
-
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
China (Peking)
Die folgenden Steuerelemente werden in der Region China (Peking) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.20] Beide VPN-Tunnel für einAWSSite-to-Site Die VPN-Verbindung sollte bestehen
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.23] IAM Access Analyzer-Analyzer sollten gekennzeichnet sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein
-
[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
China (Ningxia)
Die folgenden Steuerelemente werden in der Region China (Ningxia) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.20] Beide VPN-Tunnel für einAWSSite-to-Site Die VPN-Verbindung sollte bestehen
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.23] IAM Access Analyzer-Analyzer sollten gekennzeichnet sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
-
[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
-
[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[StepFunctions.2] Step Functions Functions-Aktivitäten sollten markiert werden
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Europa (Frankfurt)
Die folgenden Steuerelemente werden in der Region Europa (Frankfurt) nicht unterstützt.
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Europa (Irland)
Die folgenden Steuerelemente werden in der Region Europa (Irland) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Europa (London)
Die folgenden Steuerelemente werden in der Region Europa (London) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
Europa (Milan)
Die folgenden Steuerelemente werden in der Region Europa (Mailand) nicht unterstützt.
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Paris)
Die folgenden Steuerelemente werden in der Region Europa (Paris) nicht unterstützt.
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Spain)
Die folgenden Steuerelemente werden in der Region Europa (Spanien) nicht unterstützt.
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Stockholm)
Die folgenden Steuerelemente werden in der Region Europa (Stockholm) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Zürich)
Die folgenden Steuerelemente werden in der Region Europa (Zürich) nicht unterstützt.
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Israel (Tel Aviv)
Die folgenden Kontrollen werden in der Region Israel (Tel Aviv) nicht unterstützt.
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.29] Snapshots von RDS-DB-Clustern sollten mit Tags versehen werden
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Mexiko (Zentral)
Die folgenden Steuerelemente werden in der Region Mexiko (Zentral) nicht unterstützt.
-
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.2]AWS BackupWiederherstellungspunkte sollten markiert werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
-
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
-
[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[EKS.9] EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.38] RDS für PostgreSQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.39] RDS für MySQL-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.40] RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
-
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
-
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Middle East (Bahrain)
Die folgenden Steuerelemente werden in der Region Naher Osten (Bahrain) nicht unterstützt.
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.20] Beide VPN-Tunnel für einAWSSite-to-Site Die VPN-Verbindung sollte bestehen
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werdenAWS KMS keys
-
[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden
-
[EKS.9] EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
-
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
-
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Naher Osten (VAE)
Die folgenden Steuerelemente werden in der Region Naher Osten (VAE) nicht unterstützt.
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
-
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
-
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
-
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
-
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
-
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
-
[EKS.9] EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess
-
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
-
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Lambda.7] Lambda-Funktionen sollten habenAWS X-Rayaktives Tracing aktiviert
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Südamerika (São Paulo)
Die folgenden Steuerelemente werden in der Region Südamerika (São Paulo) nicht unterstützt.
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
AWS GovCloud (US-East)
Die folgenden Steuerelemente werden in der AWS GovCloud (US-East) Region nicht unterstützt.
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
-
[StepFunctions.2] Step Functions Functions-Aktivitäten sollten markiert werden
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
AWS GovCloud (US-West)
Die folgenden Steuerelemente werden in der AWS GovCloud (US-West) Region nicht unterstützt.
-
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
-
[Account.2]AWS-Kontensollte Teil eines seinAWS OrganizationsOrganisation
-
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
-
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
-
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
-
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
-
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
-
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
-
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.22] Unbenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
-
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
-
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
-
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
-
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
-
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
-
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
-
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
-
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
-
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
-
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
-
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
-
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
-
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
-
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
-
[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Für S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
-
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
-
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
-
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
-
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
-
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
-
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
-
[StepFunctions.2] Step Functions Functions-Aktivitäten sollten markiert werden
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden
-
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
-
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
-
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein