Meilleures pratiques opérationnelles pour NZISM 3.9 (Foundation)

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de mappage entre le manuel de sécurité des informations (NZISM) 2025-11 version 3.9 du Bureau de sécurité des communications du gouvernement de Nouvelle-Zélande (GCSB) et les règles Managed Config. AWS Chaque règle Config s'applique à un type de AWS ressource spécifique et concerne un ou plusieurs contrôles NZISM. Un contrôle NZISM peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages. Seuls les contrôles représentant une pratique recommandée ou de référence pour les informations classées RESTREINT et ci-dessous sont inclus dans les mappages.

Cet exemple de modèle de pack de conformité contient des mappages avec des contrôles au sein du cadre NZISM, qui fait partie intégrante du cadre des exigences de protection en matière de sécurité (Protective Security Requirements, PSR) qui définit les attentes du gouvernement néo-zélandais en matière de gestion de la sécurité du personnel, de l'information et de la sécurité physique.

La partie Foundation de ce pack de conformité peut être déployée à Sydney et dans le monde entier. La partie NZ Transition contient le sous-ensemble des règles Foundation Config actuellement disponibles dans la région de la Nouvelle Zélande. La partie Fondation ne sera actuellement pas déployée dans la région de la Nouvelle Zélande. La partie Extension de ce pack de conformité peut être déployée dans les régions de Sydney et de Nouvelle Zélande afin d'augmenter les règles de configuration fournies dans les parties Foundation et NZ Transition.

Le NZISM est sous licence Creative Commons Attribution 4.0 Nouvelle Zélande, disponible sur. https://creativecommons.org/licenses/by/4.0/ Les informations sur les droits d'auteur sont disponibles dans le manuel de sécurité de l'information du NZISM néo-zélandais | Mentions légales, vie privée et droits d'auteur.

ID du contrôle	Description du contrôle	Règle AWS Config	Conseils
1149	Sécurité logicielle, environnements d'exploitation standard, développement de SOE renforcés (14.1.8. C.01.)	ec2-instance-managed-by-systems-manager	Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
1149	Sécurité logicielle, environnements d'exploitation standard, développement de SOE renforcés (14.1.8. C.01.)	ec2-managedinstance-association-compliance-status-check	Utilisez AWS Systems Manager Associations pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
1149	Sécurité logicielle, environnements d'exploitation standard, développement de SOE renforcés (14.1.8. C.01.)	ecs-containers-nonprivileged	Ce contrôle vérifie si le paramètre privilégié dans la définition du conteneur des définitions de tâches Amazon ECS est défini sur true. Le contrôle échoue si ce paramètre est égal à true. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS. Nous vous recommandons de supprimer les privilèges élevés de vos définitions de tâches ECS. Lorsque le paramètre de privilège est vrai, le conteneur reçoit des privilèges élevés sur l'instance du conteneur hôte (comme l'utilisateur root).
1149	Sécurité logicielle, environnements d'exploitation standard, développement de SOE renforcés (14.1.8. C.01.)	ecs-containers-readonly-access	Ce contrôle vérifie si les conteneurs Amazon ECS sont limités à l'accès en lecture seule aux systèmes de fichiers racines montés. Ce contrôle échoue si le ReadonlyRootFilesystem paramètre de la définition du conteneur des définitions de tâches Amazon ECS est défini sur false. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS. L'activation de cette option réduit les vecteurs d'attaques de sécurité, car le système de fichiers de l'instance de conteneur ne peut pas être altéré ni écrit à moins qu'il ne dispose d'autorisations de lecture-écriture explicites sur le dossier et les répertoires de son système de fichiers. Ce contrôle respecte également le principe du moindre privilège.
1154	Incidents de sécurité de l'information, détection des incidents de sécurité de l'information, prévention et détection des incidents de sécurité de l'information (7.1.7. C.02.)	guardduty-runtime-monitoring activé	Ce contrôle vérifie si la surveillance du temps d'exécution est activée pour Amazon GuardDuty dans votre compte ou votre organisation. Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des charges de travail AWS spécifiques de votre environnement.
1661	Sécurité logicielle, développement d'applications Web, contenu du site Web de l'Agence (14.5.6. C.01.)	cloudfront-default-root-object-configured	Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour renvoyer un objet spécifique, qui est l'objet racine par défaut. Le contrôle échoue si aucun objet racine par défaut n'est configuré pour la CloudFront distribution. Un utilisateur peut parfois demander l'URL racine de la distribution au lieu d'un objet de la distribution. Dans ce cas, la spécification d'un objet racine par défaut peut vous aider à éviter d'exposer le contenu de votre distribution web. Cette règle doit être appliquée dans la région us-east-1. Déployez avec le paramètre de modèle DeployEdgeRules = true.
1667	Sécurité logicielle, développement d'applications Web, applications Web (14.5.8. C.01.)	acm-certificate-expiration-check	Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour les joursToExpiration. La valeur est de 90 jours.
1667	Sécurité logicielle, développement d'applications Web, applications Web (14.5.8. C.01.)	elb-tls-https-listeners-only	Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1841	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, méthodes d'identification et d'authentification des utilisateurs du système (16.1.35). C.02.)	iam-user-mfa-enabled	Activez cette règle pour restreindre l'accès aux ressources dans le cloud AWS. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM.
1841	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, méthodes d'identification et d'authentification des utilisateurs du système (16.1.35). C.02.)	mfa-enabled-for-iam-console-access	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs d'AWS Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
1841	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, méthodes d'identification et d'authentification des utilisateurs du système (16.1.35). C.02.)	root-account-hardware-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification matérielle multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
1841	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, méthodes d'identification et d'authentification des utilisateurs du système (16.1.35). C.02.)	root-account-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
1847	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.)	alb-http-to-https-vérification de redirection	Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1847	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.)	cloudfront-viewer-policy-https	Ce contrôle vérifie si une CloudFront distribution Amazon exige que les utilisateurs utilisent directement le protocole HTTPS ou si elle utilise la redirection. Le contrôle échoue s'il ViewerProtocolPolicy est défini sur allow-all par défaut CacheBehavior ou pour CacheBehaviors. Vous pouvez utiliser HTTPS (TLS) pour empêcher les pirates potentiels d'espionner ou de manipuler le trafic réseau à l'aide d'attaques de l'homme du milieu au d'autres attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Cette règle doit être appliquée dans la région us-east-1. Déployez avec le paramètre de modèle DeployEdgeRules = true.
1847	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.)	elasticsearch-node-to-node-encryption-check	Ce contrôle vérifie si le chiffrement nœud à nœud est activé dans les domaines Elasticsearch. Ce contrôle échoue si le chiffrement nœud à nœud est désactivé sur le domaine. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau par le biais d'attaques de type « person-in-the-middle » ou d'attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du chiffrement nœud à nœud pour les domaines Elasticsearch garantit que les communications intra-cluster sont chiffrées en transit.
1847	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.)	elb-tls-https-listeners-only	Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1847	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.)	opensearch-node-to-node-encryption-check	Ce contrôle vérifie si le chiffrement nœud à nœud est activé dans les OpenSearch domaines. Ce contrôle échoue si le chiffrement nœud à nœud est désactivé sur le domaine. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau par le biais d'attaques de type « person-in-the-middle » ou d'attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du chiffrement nœud à nœud pour les OpenSearch domaines garantit le chiffrement des communications au sein du cluster pendant le transit.
1893	Contrôle d'accès et mots de passe, identification, authentification et mots de passe, suspension de l'accès (16.1.46. C.02.)	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période spécifiée. Si ces informations d'identification non utilisées sont identifiées, vous devez désactiver la and/or suppression des informations d'identification, car cela pourrait violer le principe du moindre privilège. Cette règle fixe le maximum CredentialUsageAge à 30 jours.
1946	Contrôle d'accès et mots de passe, accès utilisateur privilégié, utilisation de comptes privilégiés (16.3.5. C.02.)	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
1946	Contrôle d'accès et mots de passe, accès utilisateur privilégié, utilisation de comptes privilégiés (16.3.5. C.02.)	iam-root-access-key-check	L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des comptes AWS basés sur les rôles pour intégrer le principe de moindre fonctionnalité.
1998	Contrôle d'accès et mots de passe, enregistrement et audit des événements, tenue à jour des journaux de gestion du système (16.6.6. C.02.)	cloud-trail-cloud-watch-logs-enabled	Vous devez configurer l' CloudTrail option CloudWatch Logs pour surveiller vos journaux de suivi et être averti lorsqu'une activité spécifique se produit. Cette règle vérifie si les CloudTrail traces AWS sont configurées pour envoyer des journaux à Amazon CloudWatch Logs.
1998	Contrôle d'accès et mots de passe, enregistrement et audit des événements, tenue à jour des journaux de gestion du système (16.6.6. C.02.)	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS.
1998	Contrôle d'accès et mots de passe, enregistrement et audit des événements, tenue à jour des journaux de gestion du système (16.6.6. C.02.)	cw-loggroup-retention-period-check	Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. La durée minimale de conservation est de 18 mois.
2013	Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.)	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
2013	Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.)	cloudfront-accesslogs-enabled	Ce contrôle vérifie si la journalisation des accès au serveur est activée sur les CloudFront distributions. Le contrôle échoue si la journalisation des accès n'est pas activée pour une distribution. CloudFront les journaux d'accès fournissent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Chaque journal contient des informations telles que la date et l'heure de réception de la demande, l'adresse IP de l'utilisateur qui a fait la demande, la source de la demande et le numéro de port de la demande formulée par l'utilisateur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Cette règle doit être appliquée dans la région us-east-1. Déployer avec le paramètre de modèle DeployEdgeRules = true
2013	Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.)	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS.
2013	Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.)	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
2013	Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.)	rds-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
2013	Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.)	wafv2-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. La journalisation AWS WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre ressource AWS, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspondait.
2022	Contrôle d'accès et mots de passe, enregistrement et audit des événements, protection des journaux d'événements (16.6.12). C.01.)	cloud-trail-log-file-validation-enabled	Utilisez la validation des fichiers CloudTrail journaux AWS pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
2022	Contrôle d'accès et mots de passe, enregistrement et audit des événements, protection des journaux d'événements (16.6.12). C.01.)	cloudwatch-log-group-encrypted	Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
2028	Contrôle d'accès et mots de passe, journalisation et audit des événements, archives du journal des événements (16.6.13). C.01.)	cw-loggroup-retention-period-check	Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. La durée minimale de conservation est de 18 mois.
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	cloud-trail-encryption-enabled	Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos CloudTrail pistes AWS.
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	ec2-ebs-encryption-by-default	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	efs-encrypted-check	Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	elasticsearch-encrypted-at-rest	Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine Elasticsearch Service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256.
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	encrypted-volumes	Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (EBS).
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	opensearch-encrypted-at-rest	Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les OpenSearch domaines. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine de OpenSearch service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256.
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	rds-snapshot-encrypted	Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	rds-storage-encrypted	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
2082	Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.)	s3-bucket-server-side-encryption-enabled	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
2090	Cryptographie, principes fondamentaux de la cryptographie, protection des informations et des systèmes (17.1.55. C.02.)	alb-http-to-https-vérification de redirection	Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
2090	Cryptographie, principes fondamentaux de la cryptographie, protection des informations et des systèmes (17.1.55. C.02.)	elb-tls-https-listeners-only	Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
2090	Cryptographie, principes fondamentaux de la cryptographie, protection des informations et des systèmes (17.1.55. C.02.)	redshift-require-tls-ssl	Assurez-vous que vos clusters Amazon Redshift nécessitent un TLS/SSL chiffrement pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
2598	Cryptographie, sécurité de la couche de transport, utilisation du protocole TLS (17.4.16). C.01.)	elb-custom-security-policy-ssl-check	Pour protéger les données en transit, assurez-vous que vos écouteurs ElasticLoadBalancer SSL classiques utilisent une politique de sécurité personnalisée. Ces politiques peuvent fournir divers algorithmes de chiffrement très puissants afin de garantir des communications réseau chiffrées entre les systèmes. Cette règle exige que vous définissiez une politique de sécurité personnalisée pour vos écouteurs SSL. La politique de sécurité est la suivante : Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256.
2600	Cryptographie, sécurité de la couche de transport, utilisation du protocole TLS (17.4.16). C.02.)	elb-custom-security-policy-ssl-check	Pour protéger les données en transit, assurez-vous que vos écouteurs ElasticLoadBalancer SSL classiques utilisent une politique de sécurité personnalisée. Ces politiques peuvent fournir divers algorithmes de chiffrement très puissants afin de garantir des communications réseau chiffrées entre les systèmes. Cette règle exige que vous définissiez une politique de sécurité personnalisée pour vos écouteurs SSL. La politique de sécurité par défaut est : Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256.
2726	Cryptographie, Secure Shell, Accès à distance automatisé (17.5.8. C.02.)	restricted-ssh	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources AWS. Interdiction d'autoriser le trafic entrant (ou distant) à partir de la version 0.0.0. 0/0 au port 22 de vos ressources vous aide à restreindre l'accès à distance.
3021	Cryptographie, gestion des clés, contenu des KMP (17.9.25. C.01.)	cmk-backing-key-rotation-enabled	Amazon Key Management Service (KMS) permet aux clients de faire pivoter la clé de sauvegarde, qui est un élément clé stocké dans AWS KMS et est lié à l'ID de clé de la clé gérée par le client (CMK). Il s'agit de la clé de stockage utilisée pour effectuer les opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation de clé automatique conserve actuellement toutes les clés de stockage précédentes afin que le déchiffrement des données chiffrées puisse se dérouler de façon transparente. La rotation des clés de chiffrement contribue à réduire l'impact potentiel d'une clé compromise, puisque les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une ancienne clé susceptible d'avoir été exposée.
3205	Sécurité du réseau, gestion du réseau, limitation de l'accès au réseau (18.1.13. C.02.)	vpc-sg-open-only-to-authorized-ports	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En restreignant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0. 0/0) l'accès à distance aux systèmes internes peut être contrôlé. La liste des ports Internet autorisés est la suivante : 443 uniquement
3449	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.02.)	ec2-managedinstance-patch-compliance-status-check	Activez la règle pour aider à identifier et à documenter les vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager, conformément aux politiques et procédures de votre organisation.
3449	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.02.)	ecr-private-image-scanning-enabled	Ce contrôle vérifie si la numérisation d'images est configurée dans un référentiel Amazon Elastic Container Registry (ECR) privé. Ce contrôle échoue si la numérisation d'images n'est pas configurée dans un référentiel ECR privé. Notez que vous devez également configurer le scan en mode push pour chaque dépôt afin de passer ce contrôle. La numérisation d'images ECR permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. L'ECR utilise la base de données Common Vulnerabilities and Exposures (CVE) du projet open source Clair et fournit une liste des résultats d'analyse. L'activation de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées.
3449	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.02.)	redshift-cluster-maintenancesettings-check	Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cet ensemble de règles autorise VersionUpgrade la valeur true.
3451	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.04.)	ec2-managedinstance-patch-compliance-status-check	Activez la règle pour aider à identifier et à documenter les vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager, conformément aux politiques et procédures de votre organisation.
3452	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.05.)	ec2-managedinstance-patch-compliance-status-check	Activez la règle pour aider à identifier et à documenter les vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager, conformément aux politiques et procédures de votre organisation.
3452	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.05.)	elastic-beanstalk-managed-updates-enabled	Ce contrôle vérifie si les mises à jour de plateforme gérées sont activées pour l'environnement Elastic Beanstalk. L'activation des mises à jour de plate-forme gérées garantit que les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement sont installés. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
3452	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.05.)	rds-automatic-minor-version-upgrade-enabled	Ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l'instance de base de données Amazon Relational Database Service (RDS). L'activation des mises à niveau automatiques des versions mineures garantit que les dernières mises à jour des versions mineures du système de gestion de base de données relationnelle (RDBMS) sont installées. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
3453	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.06.)	ec2-managedinstance-patch-compliance-status-check	Activez la règle pour aider à identifier et à documenter les vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager, conformément aux politiques et procédures de votre organisation.
3453	Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.06.)	redshift-cluster-maintenancesettings-check	Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cet ensemble de règles autorise VersionUpgrade la valeur true.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	cloudfront-associated-with-waf	Ce contrôle vérifie si les CloudFront distributions sont associées aux ACL Web AWS WAF ou AWS WAFv2. Le contrôle échoue si la distribution n'est pas associée à une ACL Web. AWS WAF est un pare-feu d'application web qui aide à protéger les applications web et les API contre les attaques. Il vous permet de configurer un ensemble de règles appelé liste de contrôle d'accès web (ACL web) qui autorisent, bloquent ou comptent les requêtes web en fonction des règles et conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre CloudFront distribution est associée à une ACL Web AWS WAF afin de la protéger contre les attaques malveillantes. Cette règle doit être appliquée dans la région us-east-1. Déployez avec le paramètre de modèle DeployEdgeRules = true.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	dms-replication-not-public	Gérez l'accès au cloud AWS en vous assurant que les instances de réplication d'AWS Database Migration Service (DMS) ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	ec2-imdsv2-check	Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	ec2-instance-no-public-ip	Gérez l'accès au cloud AWS en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	ec2-instances-in-vpc	Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans nécessiter de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste en toute sécurité dans le cloud AWS. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	elasticsearch-in-vpc-only	Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	emr-master-no-public-ip	Gérez l'accès au cloud AWS en vous assurant que les nœuds principaux du cluster Amazon Elastic MapReduce (EMR) ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement cloud AWS.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	opensearch-in-vpc-only	Ce contrôle vérifie si OpenSearch les domaines se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que OpenSearch les domaines ne sont pas attachés à des sous-réseaux publics. OpenSearch les domaines déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux OpenSearch domaines, notamment les ACL réseau et les groupes de sécurité.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	rds-instance-public-access-check	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le cloud AWS en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle définit ignore PublicAcls à True, block PublicPolicy à True, block PublicAcls à True et restrict PublicBuckets à True.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	vpc-default-security-group-closed	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources AWS. La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos ressources AWS.
3562	Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.)	vpc-flow-logs-enabled	Les journaux de flux du cloud privé virtuel (VPC) fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
3623	Sécurité des passerelles, passerelles, zones démilitarisées (19.1.14. C.02.)	elasticsearch-in-vpc-only	Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité.
3623	Sécurité des passerelles, passerelles, zones démilitarisées (19.1.14. C.02.)	opensearch-in-vpc-only	Ce contrôle vérifie si OpenSearch les domaines se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que OpenSearch les domaines ne sont pas attachés à des sous-réseaux publics. OpenSearch les domaines déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux OpenSearch domaines, notamment les ACL réseau et les groupes de sécurité.
3623	Sécurité des passerelles, passerelles, zones démilitarisées (19.1.14. C.02.)	rds-instance-public-access-check	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
3623	Sécurité des passerelles, passerelles, zones démilitarisées (19.1.14. C.02.)	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
3815	Sécurité du réseau, détection et prévention des intrusions, IDS/IPS maintenance (18.4.9. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement cloud AWS.
3857	Sécurité du réseau, détection et prévention des intrusions, configuration du IDS/IPS (18.4.11. C.01.)	guardduty-eks-protection-audit activé	Ce contrôle vérifie si la surveillance du journal d'audit GuardDuty EKS est activée. GuardDuty La surveillance du journal d'audit EKS vous aide à détecter les activités potentiellement suspectes dans vos clusters Amazon Elastic Kubernetes Service (Amazon EKS). La surveillance des journaux d'audit EKS utilise les journaux d'audit Kubernetes pour capturer les activités chronologiques des utilisateurs, des applications utilisant l'API Kubernetes et du plan de contrôle.
3857	Sécurité du réseau, détection et prévention des intrusions, configuration du IDS/IPS (18.4.11. C.01.)	guardduty-eks-protection-runtime activé	Ce contrôle vérifie si la surveillance du temps d'exécution GuardDuty EKS avec gestion automatisée des agents est activée. La protection EKS d'Amazon GuardDuty fournit une couverture de détection des menaces pour vous aider à protéger les clusters Amazon EKS au sein de votre environnement AWS. EKS Runtime Monitoring utilise des événements au niveau du système d'exploitation pour vous aider à détecter les menaces potentielles dans les nœuds et les conteneurs EKS au sein de vos clusters EKS.
3857	Sécurité du réseau, détection et prévention des intrusions, configuration du IDS/IPS (18.4.11. C.01.)	compatible avec la protection GuardDuty-Lambda	Ce contrôle vérifie si la protection GuardDuty Lambda est activée. GuardDuty La protection Lambda vous aide à identifier les menaces de sécurité potentielles lorsqu'une fonction AWS Lambda est invoquée. Après avoir activé la protection Lambda, GuardDuty commence à surveiller les journaux d'activité du réseau Lambda associés aux fonctions Lambda de votre compte AWS. Lorsqu'une fonction Lambda est invoquée et GuardDuty identifie un trafic réseau suspect indiquant la présence d'un code potentiellement malveillant dans votre fonction Lambda, GuardDuty elle génère un résultat.
3857	Sécurité du réseau, détection et prévention des intrusions, configuration du IDS/IPS (18.4.11. C.01.)	protection guardduty-s3 activée	Ce contrôle vérifie si la protection GuardDuty S3 est activée. S3 Protection permet GuardDuty de surveiller les opérations d'API au niveau des objets afin d'identifier les risques de sécurité potentiels pour les données contenues dans vos compartiments Amazon S3. GuardDuty surveille les menaces qui pèsent sur vos ressources S3 en analysant les événements CloudTrail de gestion AWS et les événements liés aux données CloudTrail S3.
3875	Sécurité du réseau, détection et prévention des intrusions, gestion des événements et corrélation (18.4.12). C.01.)	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement cloud AWS.
3875	Sécurité du réseau, détection et prévention des intrusions, gestion des événements et corrélation (18.4.12). C.01.)	securityhub-enabled	AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services AWS. Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer, AWS Firewall Manager et les solutions AWS Partner.
4441	Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.)	elasticsearch-encrypted-at-rest	Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine Elasticsearch Service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256.
4441	Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.)	opensearch-encrypted-at-rest	Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les OpenSearch domaines. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine de OpenSearch service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256.
4441	Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.)	rds-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
4441	Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.)	rds-snapshot-encrypted	Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
4441	Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.)	rds-snapshots-public-prohibited	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
4441	Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.)	rds-storage-encrypted	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
4441	Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.)	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle définit le cluster DbEncrypted sur true et LoggingEnabled sur true.
4445	Gestion des données, bases de données, responsabilité (20.4.5. C.02.)	rds-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
4445	Gestion des données, bases de données, responsabilité (20.4.5. C.02.)	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle définit le cluster DbEncrypted sur true et LoggingEnabled sur true.
4829	Sécurité des systèmes d'entreprise, cloud computing, disponibilité des systèmes (22.1.23. C.01.)	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling utilise le service AWS Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa read/write capacité provisionnée afin de gérer les augmentations soudaines du trafic, sans limitation.
4829	Sécurité des systèmes d'entreprise, cloud computing, disponibilité des systèmes (22.1.23. C.01.)	elb-cross-zone-load-balancing-enabled	Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit le besoin de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
4838	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.)	cloudtrail-s3-dataevents-enabled	La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
4838	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.)	ebs-snapshot-public-restorable-check	Gérez l'accès au cloud AWS en vous assurant que les instantanés Amazon Elastic Block Store (EBS) ne peuvent pas être restaurés publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
4838	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.)	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le cloud AWS en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle définit ignore PublicAcls à True, block PublicPolicy à True, block PublicAcls à True et restrict PublicBuckets à True.
4838	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.)	s3-bucket-public-read-prohibited	Gérez l'accès aux ressources du cloud AWS en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
4838	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.)	s3-bucket-public-write-prohibited	Gérez l'accès aux ressources du cloud AWS en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	dynamodb-table-encrypted-kms	Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées avec une clé du service de gestion des clés (KMS) appartenant à AWS.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	efs-encrypted-check	Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	elasticsearch-encrypted-at-rest	Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine Elasticsearch Service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	elasticsearch-node-to-node-encryption-check	Ce contrôle vérifie si le chiffrement nœud à nœud est activé dans les domaines Elasticsearch. Ce contrôle échoue si le chiffrement nœud à nœud est désactivé sur le domaine. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau par le biais d'attaques de type « person-in-the-middle » ou d'attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du chiffrement nœud à nœud pour les domaines Elasticsearch garantit que les communications intra-cluster sont chiffrées en transit.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	elb-tls-https-listeners-only	Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	encrypted-volumes	Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (EBS).
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	opensearch-encrypted-at-rest	Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les OpenSearch domaines. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine de OpenSearch service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	opensearch-node-to-node-encryption-check	Ce contrôle vérifie si le chiffrement nœud à nœud est activé dans les OpenSearch domaines. Ce contrôle échoue si le chiffrement nœud à nœud est désactivé sur le domaine. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau par le biais d'attaques de type « person-in-the-middle » ou d'attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du chiffrement nœud à nœud pour les OpenSearch domaines garantit le chiffrement des communications au sein du cluster pendant le transit.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	rds-snapshot-encrypted	Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	rds-storage-encrypted	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	redshift-cluster-configuration-check	Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle définit le cluster DbEncrypted sur true et LoggingEnabled sur true.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	redshift-require-tls-ssl	Assurez-vous que vos clusters Amazon Redshift nécessitent un TLS/SSL chiffrement pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	s3-bucket-ssl-requests-only	Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	sagemaker-endpoint-configuration-kms-key-configured	Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (KMS) est activé pour SageMaker votre terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	sagemaker-notebook-instance-kms-key-configured	Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (KMS) est activé pour SageMaker votre bloc-notes. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
4839	Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.)	secretsmanager-using-cmk	Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (KMS) est activé pour les secrets d'AWS Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
4849	Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.)	db-instance-backup-enabled	La fonctionnalité de sauvegarde d'Amazon Relational Database Service (RDS) crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
4849	Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.)	dynamodb-pitr-enabled	Activez cette règle pour vérifier que les informations ont été sauvegardées. Elle maintient également les sauvegardes en s'assurant que la récupération ponctuelle est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
4849	Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.)	elasticache-redis-cluster-automatic-backup-check	Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
4849	Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.)	rds-cluster-deletion-protection-enabled	Assurez-vous que la protection contre les suppressions est activée sur les instances Amazon Relational Database Service (RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante de vos instances RDS, ce qui peut entraîner une perte de disponibilité pour vos applications.
4849	Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.)	rds-instance-deletion-protection-enabled	Assurez-vous que la protection contre les suppressions est activée sur les instances Amazon Relational Database Service (RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
4849	Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.)	redshift-backup-enabled	Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les 8 heures ou tous les 5 Go par nœud de modifications de données, selon la première de ces deux éventualités.
6843	Contrôle d'accès et mots de passe, gestion des accès privilégiés, principe du moindre privilège (16.4.31). C.02.)	mfa-enabled-for-iam-console-access	Multi-factor L'authentification (MFA) renforce la sécurité en demandant aux utilisateurs de fournir une authentification unique via un mécanisme AWS-supported MFA, en plus de leurs informations de connexion habituelles, lorsqu'ils accèdent aux sites Web ou aux services AWS. Les mécanismes pris en charge incluent les clés de sécurité U2F, les dispositifs MFA virtuels ou matériels et les codes. SMS-based Cette règle vérifie si AWS MFA est activé pour tous les utilisateurs d'AWS Identity and Access Management (IAM) qui utilisent un mot de passe de console. La règle est conforme si le MFA est activé.
6843	Contrôle d'accès et mots de passe, gestion des accès privilégiés, principe du moindre privilège (16.4.31). C.02.)	root-account-hardware-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification matérielle multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
6852	Contrôle d'accès et mots de passe, gestion des accès privilégiés, suspension et révocation des identifiants d'accès privilégiés (16.4.33. C.01.)	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période spécifiée. Si ces informations d'identification non utilisées sont identifiées, vous devez désactiver la and/or suppression des informations d'identification, car cela pourrait violer le principe du moindre privilège. Cette règle fixe le maximum CredentialUsageAge à 30 jours.
6860	Contrôle d'accès et mots de passe, gestion, surveillance et révision des accès privilégiés (16.4.35. C.02.)	cloud-trail-cloud-watch-logs-enabled	Vous devez configurer l' CloudTrail option CloudWatch Logs pour surveiller vos journaux de suivi et être averti lorsqu'une activité spécifique se produit. Cette règle vérifie si les CloudTrail traces AWS sont configurées pour envoyer des journaux à Amazon CloudWatch Logs.
6860	Contrôle d'accès et mots de passe, gestion, surveillance et révision des accès privilégiés (16.4.35. C.02.)	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS.
6861	Contrôle d'accès et mots de passe, gestion, surveillance et révision des accès privilégiés (16.4.35. C.03.)	cloudtrail-security-trail-enabled	Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité recommandées par AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de l'activation d'AWS CloudTrail dans plusieurs régions.
6953	Contrôle d'accès et mots de passe, Multi-Factor authentification, architecture du système et contrôles de sécurité (16.7.34. C.02.)	mfa-enabled-for-iam-console-access	Multi-factor L'authentification (MFA) renforce la sécurité en demandant aux utilisateurs de fournir une authentification unique via un mécanisme AWS-supported MFA, en plus de leurs informations de connexion habituelles, lorsqu'ils accèdent aux sites Web ou aux services AWS. Les mécanismes pris en charge incluent les clés de sécurité U2F, les dispositifs MFA virtuels ou matériels et les codes. SMS-based Cette règle vérifie si AWS MFA est activé pour tous les utilisateurs d'AWS Identity and Access Management (IAM) qui utilisent un mot de passe de console. La règle est conforme si le MFA est activé.
6953	Contrôle d'accès et mots de passe, Multi-Factor authentification, architecture du système et contrôles de sécurité (16.7.34. C.02.)	root-account-hardware-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification matérielle multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
7436	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	iam-user-mfa-enabled	Activez cette règle pour restreindre l'accès aux ressources dans le cloud AWS. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM.
7436	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	mfa-enabled-for-iam-console-access	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs d'AWS Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
7436	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	root-account-hardware-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification matérielle multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
7436	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	root-account-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
7437	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	iam-user-mfa-enabled	Activez cette règle pour restreindre l'accès aux ressources dans le cloud AWS. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM.
7437	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	mfa-enabled-for-iam-console-access	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs d'AWS Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
7437	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	root-account-hardware-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification matérielle multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
7437	Sécurité du cloud public, gestion des identités et contrôle d'accès, nom d'utilisateur et mots de passe (23.3.19). C.01.)	root-account-mfa-enabled	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que l'authentification multifactorielle (MFA) est activée pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes AWS compromis.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	dms-replication-not-public	Gérez l'accès au cloud AWS en vous assurant que les instances de réplication d'AWS Database Migration Service (DMS) ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	ec2-imdsv2-check	Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	ec2-instance-no-public-ip	Gérez l'accès au cloud AWS en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	ec2-instances-in-vpc	Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein de l'Amazon VPC, sans passer par une passerelle Internet, un appareil NAT ou une connexion VPN. Tout le trafic reste en toute sécurité dans le cloud AWS. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	elasticsearch-in-vpc-only	Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	emr-master-no-public-ip	Gérez l'accès au cloud AWS en vous assurant que les nœuds principaux du cluster Amazon Elastic MapReduce (EMR) ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement cloud AWS.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	lambda-function-public-access-prohibited	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	opensearch-in-vpc-only	Ce contrôle vérifie si OpenSearch les domaines se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que OpenSearch les domaines ne sont pas attachés à des sous-réseaux publics. OpenSearch les domaines déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux OpenSearch domaines, notamment les ACL réseau et les groupes de sécurité.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	rds-instance-public-access-check	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	redshift-cluster-public-access-check	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	s3-account-level-public-access-blocks-periodic	Gérez l'accès aux ressources dans le cloud AWS en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle définit ignore PublicAcls à True, block PublicPolicy à True, block PublicAcls à True et restrict PublicBuckets à True.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	sagemaker-notebook-no-direct-internet-access	Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	ssm-document-not-public	Assurez-vous que les documents AWS Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	vpc-default-security-group-closed	Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources AWS. La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos ressources AWS.
7466	Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.)	vpc-flow-logs-enabled	Les journaux de flux du cloud privé virtuel (VPC) fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	api-gw-execution-logging-enabled	La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	cloud-trail-log-file-validation-enabled	Utilisez la validation des fichiers CloudTrail journaux AWS pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	cloudfront-accesslogs-enabled	Ce contrôle vérifie si la journalisation des accès au serveur est activée sur les CloudFront distributions. Le contrôle échoue si la journalisation des accès n'est pas activée pour une distribution. CloudFront les journaux d'accès fournissent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Chaque journal contient des informations telles que la date et l'heure de réception de la demande, l'adresse IP de l'utilisateur qui a fait la demande, la source de la demande et le numéro de port de la demande formulée par l'utilisateur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Cette règle doit être appliquée dans la région us-east-1.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	cloudtrail-enabled	AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	cloudwatch-log-group-encrypted	Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	elb-logging-enabled	L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	rds-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
7496	Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.)	wafv2-logging-enabled	Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. La journalisation AWS WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre ressource AWS, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspondait.
7545	Contrôle d'accès et mots de passe, identification, authentification et authentification, mots de passe et politiques (16.1.31. C.02.)	iam-password-policy	Assurez-vous que les mots de passe changent chaque année sur les systèmes qui n'ont pas mis en œuvre l'authentification multifactorielle (MFA) ou l'authentification sans mot de passe.
7546	Contrôle d'accès et mots de passe, identification, authentification et authentification, mots de passe et politiques (16.1.31. C.03.)	iam-password-policy	Assurez-vous que la longueur minimale du mot de passe est de 16 caractères (par exemple quatre mots). Les mots de passe doivent être longs, forts et uniques. Aucune exigence de complexité explicite n'est appliquée (par exemple des chiffres ou des caractères spéciaux), mais les mots de passe doivent être uniques ou aléatoires et peuvent inclure des caractères spéciaux et des chiffres pour y parvenir.

Modèle



            ##################################################################################
            #
            #   Conformance Pack:
            #     Operational Best Practices for NZISM Foundation
            #
            #   This conformance pack helps verify compliance with NZISM requirements.
            #
            ##################################################################################

            Resources:
              AcmCertificateExpirationCheck:
                Controls: [ '1667' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: acm-certificate-expiration-check
                  InputParameters:
                    daysToExpiration: '30'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ACM::Certificate
                  Source:
                    Owner: AWS
                    SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK
                  Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications"
              AlbHttpToHttpsRedirectionCheck:
                Controls: [ '1847', '2090' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: alb-http-to-https-redirection-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..."
              ApiGwExecutionLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: api-gw-execution-logging-enabled
                  InputParameters:
                    loggingLevel: 'ERROR, INFO'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ApiGateway::Stage
                      - AWS::ApiGatewayV2::Stage
                  Source:
                    Owner: AWS
                    SourceIdentifier: API_GW_EXECUTION_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudTrailCloudWatchLogsEnabled:
                Controls: [ '1998', '6860' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-cloud-watch-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..."
              CloudTrailEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-encryption-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              CloudTrailLogFileValidationEnabled:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-log-file-validation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CloudfrontAccesslogsEnabled:
                Condition: IsEdge
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-accesslogs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudfrontAssociatedWithWaf:
                Condition: IsEdge
                Controls: [ '3562' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-associated-with-waf
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF
                  Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways"
              CloudfrontDefaultRootObjectConfigured:
                Condition: IsEdge
                Controls: [ '1661' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-default-root-object-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED
                  Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content"
              CloudfrontViewerPolicyHttps:
                Condition: IsEdge
                Controls: [ '1847' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-viewer-policy-https
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS
                  Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit"
              CloudtrailEnabled:
                Controls: [ '1998', '2013', '6860', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..."
              CloudtrailS3DataeventsEnabled:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-s3-dataevents-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              CloudtrailSecurityTrailEnabled:
                Controls: [ '6861' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-security-trail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED
                  Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review"
              CloudwatchLogGroupEncrypted:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudwatch-log-group-encrypted
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CmkBackingKeyRotationEnabled:
                Controls: [ '3021' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cmk-backing-key-rotation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
                  Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs"
              CwLoggroupRetentionPeriodCheck:
                Controls: [ '1998', '2028' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cw-loggroup-retention-period-check
                  InputParameters:
                    MinRetentionTime: '545'
                  Source:
                    Owner: AWS
                    SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..."
              DbInstanceBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: db-instance-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DmsReplicationNotPublic:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dms-replication-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              DynamodbAutoscalingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-autoscaling-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              DynamodbPitrEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-pitr-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_PITR_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DynamodbTableEncryptedKms:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-table-encrypted-kms
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              EbsSnapshotPublicRestorableCheck:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ebs-snapshot-public-restorable-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              Ec2EbsEncryptionByDefault:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-ebs-encryption-by-default
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              Ec2Imdsv2Check:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-imdsv2-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_IMDSV2_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstanceManagedBySystemsManager:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-managed-by-systems-manager
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                      - AWS::SSM::ManagedInstanceInventory
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2InstanceNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-no-public-ip
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstancesInVpc:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instances-in-vpc
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: INSTANCES_IN_VPC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2ManagedinstanceAssociationComplianceStatusCheck:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-association-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::AssociationCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2ManagedinstancePatchComplianceStatusCheck:
                Controls: [ '3449', '3451', '3452', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-patch-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::PatchCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.04[CID:3451], SHOULD 12.4.4.C.05[CID:3452], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Pa..."
              EcrPrivateImageScanningEnabled:
                Controls: [ '3449' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecr-private-image-scanning-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECR::Repository
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECR_PRIVATE_IMAGE_SCANNING_ENABLED
                  Description: "MUST 12.4.4.C.02[CID:3449]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              EcsContainersNonprivileged:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-nonprivileged
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_NONPRIVILEGED
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EcsContainersReadonlyAccess:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-readonly-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_READONLY_ACCESS
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EfsEncryptedCheck:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: efs-encrypted-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EFS_ENCRYPTED_CHECK
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              ElasticBeanstalkManagedUpdatesEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elastic-beanstalk-managed-updates-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticBeanstalk::Environment
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              ElasticacheRedisClusterAutomaticBackupCheck:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticache-redis-cluster-automatic-backup-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              ElasticsearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-encrypted-at-rest
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              ElasticsearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-in-vpc-only
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              ElasticsearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Elasticsearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              ElbCrossZoneLoadBalancingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-cross-zone-load-balancing-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              ElbCustomSecurityPolicySslCheck:
                Controls: [ '2598', '2600' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-custom-security-policy-ssl-check
                  InputParameters:
                    sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK
                  Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS"
              ElbLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                      - AWS::ElasticLoadBalancingV2::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              ElbTlsHttpsListenersOnly:
                Controls: [ '1667', '1847', '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-tls-https-listeners-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY
                  Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..."
              EmrMasterNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: emr-master-no-public-ip
                  Source:
                    Owner: AWS
                    SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              EncryptedVolumes:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: encrypted-volumes
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Volume
                  Source:
                    Owner: AWS
                    SourceIdentifier: ENCRYPTED_VOLUMES
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              GuarddutyEksProtectionAuditEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-audit-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEksProtectionRuntimeEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-runtime-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEnabledCentralized:
                Controls: [ '3562', '3815', '3875', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-enabled-centralized
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_ENABLED_CENTRALIZED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 18.4.9.C.01[CID:3815], SHOULD 18.4.12.C.01[CID:3875], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateway..."
              GuarddutyLambdaProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-lambda-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_LAMBDA_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyRuntimeMonitoringEnabled:
                Controls: [ '1154' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-runtime-monitoring-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_RUNTIME_MONITORING_ENABLED
                  Description: "SHOULD 7.1.7.C.02[CID:1154]| Information Security Incidents/Detecting Information Security Incidents/Preventing and detecting information security incidents"
              GuarddutyS3ProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-s3-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_S3_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              IamPasswordPolicy:
                Controls: [ '7545', '7546' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-password-policy
                  InputParameters:
                    MaxPasswordAge: '1095'
                    MinimumPasswordLength: '16'
                    PasswordReusePrevention: '24'
                    RequireUppercaseCharacters: 'false'
                    RequireLowercaseCharacters: 'false'
                    RequireSymbols: 'false'
                    RequireNumbers: 'false'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_PASSWORD_POLICY
                  Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy"
              IamPolicyNoStatementsWithAdminAccess:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-policy-no-statements-with-admin-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::IAM::Policy
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamRootAccessKeyCheck:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-root-access-key-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamUserMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              IamUserUnusedCredentialsCheck:
                Controls: [ '1893', '6852' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-unused-credentials-check
                  InputParameters:
                    maxCredentialUsageAge: '90'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
                  Description: "SHOULD 16.1.46.C.02[CID:1893], MUST 16.4.33.C.01[CID:6852]| Access Control and Passwords: (Identification, Authentication and Passwords/Suspension of access and Privi..."
              LambdaFunctionPublicAccessProhibited:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: lambda-function-public-access-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Lambda::Function
                  Source:
                    Owner: AWS
                    SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              MfaEnabledForIamConsoleAccess:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: mfa-enabled-for-iam-console-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              OpensearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-encrypted-at-rest
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              OpensearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-in-vpc-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              OpensearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              RdsAutomaticMinorVersionUpgradeEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-automatic-minor-version-upgrade-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RdsClusterDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-cluster-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBCluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstanceDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstancePublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RdsLoggingEnabled:
                Controls: [ '2013', '4441', '4445', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..."
              RdsSnapshotEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshot-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RdsSnapshotsPublicProhibited:
                Controls: [ '4441' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshots-public-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED
                  Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files"
              RdsStorageEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-storage-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_STORAGE_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RedshiftBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RedshiftClusterConfigurationCheck:
                Controls: [ '4441', '4445', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-configuration-check
                  InputParameters:
                    clusterDbEncrypted: 'true'
                    loggingEnabled: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK
                  Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..."
              RedshiftClusterMaintenancesettingsCheck:
                Controls: [ '3449', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-maintenancesettings-check
                  InputParameters:
                    allowVersionUpgrade: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RedshiftClusterPublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RedshiftRequireTlsSsl:
                Controls: [ '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                   ConfigRuleName: redshift-require-tls-ssl
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL
                  Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..."
              RestrictedSsh:
                Controls: [ '2726' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: restricted-ssh
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: INCOMING_SSH_DISABLED
                  Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access"
              RootAccountHardwareMfaEnabled:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-hardware-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              RootAccountMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              S3AccountLevelPublicAccessBlocksPeriodic:
                Controls: [ '3562', '4838', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-account-level-public-access-blocks-periodic
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..."
              S3BucketPublicReadProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-read-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketPublicWriteProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-write-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketServerSideEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-server-side-encryption-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              S3BucketSslRequestsOnly:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-ssl-requests-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerEndpointConfigurationKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-endpoint-configuration-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookInstanceKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-instance-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookNoDirectInternetAccess:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-no-direct-internet-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              SecretsmanagerUsingCmk:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: secretsmanager-using-cmk
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SecretsManager::Secret
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECRETSMANAGER_USING_CMK
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SecurityhubEnabled:
                Controls: [ '3875' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: securityhub-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECURITYHUB_ENABLED
                  Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation"
              SsmDocumentNotPublic:
                Controls: [ '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ssm-document-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC
                  Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility"
              VpcDefaultSecurityGroupClosed:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-default-security-group-closed
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcFlowLogsEnabled:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-flow-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_FLOW_LOGS_ENABLED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcSgOpenOnlyToAuthorizedPorts:
                Controls: [ '3205' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-sg-open-only-to-authorized-ports
                  InputParameters:
                    authorizedTcpPorts: '443'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS
                  Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
              Wafv2LoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: wafv2-logging-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: WAFV2_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Meilleures pratiques opérationnelles pour NZISM 3.9 (extension)

Bonnes pratiques opérationnelles pour NZISM 3.9 (NZ Transition)