Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Límites regionales de los controles del CSPM de Security Hub
Algunos controles CSPM de AWS Security Hub no están disponibles en todos. Regiones de AWS Esta página indica qué controles no están disponibles en regiones específicas.
En la consola del CSPM de Security Hub, un control no aparece en la lista si no está disponible en la región en la que ha iniciado sesión. La excepción es una región de agregación. Si configuró una región de agregación e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.
Regiones de AWS
Este de EE. UU. (Norte de Virginia)
Los siguientes controles no se admiten en la región este de EE. UU. (norte de Virginia).
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
Este de EE. UU. (Ohio)
Los siguientes controles no se admiten en la región este de EE. UU. (Ohio).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Oeste de EE. UU. (Norte de California)
Los siguientes controles no se admiten en la región oeste de EE. UU. (norte de California).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Oeste de EE. UU. (Oregón)
Los siguientes controles no se admiten en la región oeste de EE. UU. (Oregón).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
África (Ciudad del Cabo)
Los siguientes controles no se admiten en la región África (Ciudad del Cabo).
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Hong Kong)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hong Kong).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Hyderabad)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hyderabad).
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Yakarta)
Los siguientes controles no se admiten en la región Asia-Pacífico (Yakarta).
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Malasia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Malasia).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.2]AWS Backuplos puntos de recuperación deben estar etiquetados
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito
-
[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito
-
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Melbourne)
Los siguientes controles no se admiten en la región Asia-Pacífico (Melbourne).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Mumbai)
Los siguientes controles no se admiten en la región Asia-Pacífico (Bombay).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Nueva Zelanda)
Los siguientes controles no se admiten en la región Asia-Pacífico (Nueva Zelanda).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
-
[APIGateway.3] Las etapas de la API REST de API Gateway deberían tenerAWS X-Rayrastreo activado
-
[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.4]AWS AppSyncLas API de GraphQL deben estar etiquetadas
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.2]AWS Backuplos puntos de recuperación deben estar etiquetados
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a unAWS WAFACL web
-
[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito
-
[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito
-
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas
-
[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.1] Las instancias de Amazon EC2 deben administrarse medianteAWS Systems Manager
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[Transfer.1]AWS Transfer Familylos flujos de trabajo deben estar etiquetados
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Osaka)
Los siguientes controles no se admiten en la región Asia-Pacífico (Osaka).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Seúl)
Los siguientes controles no se admiten en la región Asia-Pacífico (Seúl).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Singapur)
Los siguientes controles no se admiten en la región Asia-Pacífico (Singapur).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Sídney)
Los siguientes controles no se admiten en la región Asia-Pacífico (Sídney).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Asia-Pacífico (Taipéi)
Los siguientes controles no se admiten en la región Asia-Pacífico (Taipéi).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
-
[APIGateway.3] Las etapas de la API REST de API Gateway deberían tenerAWS X-Rayrastreo activado
-
[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.4]AWS AppSyncLas API de GraphQL deben estar etiquetadas
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[AutoScaling.10] Los grupos de Auto Scaling de EC2 deben estar etiquetados
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.2]AWS Backuplos puntos de recuperación deben estar etiquetados
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Backup.5]AWS Backuplos planes de respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos de la pasarela de tránsito EC2 deben estar etiquetados
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.36] Las pasarelas de clientes de EC2 deben estar etiquetadas
-
[EC2.37] Las direcciones IP elásticas de EC2 deben estar etiquetadas
-
[EC2.39] Las pasarelas de Internet EC2 deben estar etiquetadas
-
[EC2.43] Los grupos de seguridad de EC2 deben estar etiquetados
-
[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas
-
[EC2.52] Las pasarelas de tránsito EC2 deben estar etiquetadas
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.15] Las definiciones de las tareas de ECS deben estar etiquetadas
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
-
[EKS.1] Los puntos finales del clúster EKS no deben ser de acceso público
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS
-
[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a unAWS WAFACL web
-
[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.1] Los dominios de Elasticsearch deben tener activado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
-
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
-
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.2] Las transmisiones de Kinesis deben estar etiquetadas
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.23] Las instancias de RDS no deben usar el puerto predeterminado de un motor de base de datos
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.28] Los clústeres de bases de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas
-
[RDS.30] Las instancias de base de datos de RDS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.33] Los grupos de subredes de base de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito
-
[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito
-
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito
-
[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas
-
[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben estar etiquetados
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo conAWS KMS keys
-
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.1] Las instancias de Amazon EC2 deben administrarse medianteAWS Systems Manager
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.1]AWS Transfer Familylos flujos de trabajo deben estar etiquetados
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Tailandia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tailandia).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.2]AWS Backuplos puntos de recuperación deben estar etiquetados
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito
-
[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito
-
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[Transfer.1]AWS Transfer Familylos flujos de trabajo deben estar etiquetados
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Tokio)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tokio).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Canadá (centro)
Los siguientes controles no se admiten en la región Canadá (centro).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Oeste de Canadá (Calgary)
Los siguientes controles no se admiten en la región Oeste de Canadá (Calgary).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito
-
[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito
-
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
China (Pekín)
Los siguientes controles no se admiten en la región China (Pekín).
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.20] Ambos túneles VPN para unAWSSite-to-Site La conexión VPN debería estar activa
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.36] Las pasarelas de clientes de EC2 deben estar etiquetadas
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra la eliminación
-
[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.28] Los clústeres de bases de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
China (Ningxia)
Los siguientes controles no se admiten en la región China (Ningxia).
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.20] Ambos túneles VPN para unAWSSite-to-Site La conexión VPN debería estar activa
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.36] Las pasarelas de clientes de EC2 deben estar etiquetadas
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones Lambda deben utilizar tiempos de ejecución compatibles
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Fráncfort)
Los siguientes controles no se admiten en la región Europa (Fráncfort).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Irlanda)
Los siguientes controles no se admiten en la región Europa (Irlanda).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Londres)
Los siguientes controles no se admiten en la región Europa (Londres).
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
Europa (Milán)
Los siguientes controles no se admiten en la región Europa (Milán).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (París)
Los siguientes controles no se admiten en la región Europa (París).
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (España)
Los siguientes controles no se admiten en la región Europa (España).
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (Estocolmo)
Los siguientes controles no se admiten en la región Europa (Estocolmo).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (Zúrich)
Los siguientes controles no se admiten en la región Europa (Zúrich).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Israel (Tel Aviv)
Los siguientes controles no se admiten en la región Israel (Tel Aviv).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[RDS.4] Las instantáneas de clústeres y bases de datos de RDS deben cifrarse cuando están inactivas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
México (centro)
Los siguientes controles no se admiten en la región México (centro).
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.4]AWS AppSyncLas API de GraphQL deben estar etiquetadas
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.2]AWS Backuplos puntos de recuperación deben estar etiquetados
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número
-
[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito
-
[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito
-
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito
-
[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas
-
[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Middle East (Bahrain)
Los siguientes controles no se admiten en la región Medio Oriente (Baréin).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.20] Ambos túneles VPN para unAWSSite-to-Site La conexión VPN debería estar activa
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
-
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Medio Oriente (EAU)
Los siguientes controles no se admiten en la región Medio Oriente (EAU).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
-
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta
-
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
-
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
-
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
América del Sur (São Paulo)
Los siguientes controles no se admiten en la región América del Sur (São Paulo).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
AWS GovCloud (US-East)
Los siguientes controles no se admiten en la AWS GovCloud (US-East) región.
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.4]AWS AppSyncLas API de GraphQL deben estar etiquetadas
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados
-
[EC2.52] Las pasarelas de tránsito EC2 deben estar etiquetadas
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
AWS GovCloud (US-West)
Los siguientes controles no se admiten en la AWS GovCloud (US-West) región.
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
-
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
-
[AppSync.4]AWS AppSyncLas API de GraphQL deben estar etiquetadas
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado
-
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
-
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
-
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas