Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Limites régionales relatives aux contrôles CSPM du Security Hub
Certains contrôles CSPM du AWS Security Hub ne sont pas tous disponibles. Régions AWS Cette page indique les contrôles qui ne sont pas disponibles dans des régions spécifiques.
Sur la console Security Hub CSPM, aucun contrôle n'apparaît dans la liste des contrôles s'il n'est pas disponible dans la région à laquelle vous êtes actuellement connecté. L'exception est une région d'agrégation. Si vous définissez une région d'agrégation et que vous vous connectez à cette région, la console affiche les commandes disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.
Régions AWS
USA Est (Virginie du Nord)
Les contrôles suivants ne sont pas pris en charge dans la région de l'Est des États-Unis (Virginie du Nord).
USA Est (Ohio)
Les contrôles suivants ne sont pas pris en charge dans la région USA Est (Ohio).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
USA Ouest (Californie du Nord)
Les contrôles suivants ne sont pas pris en charge dans la région de l'ouest des États-Unis (Californie du Nord).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
USA Ouest (Oregon)
Les contrôles suivants ne sont pas pris en charge dans la région de l'ouest des États-Unis (Oregon).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Afrique (Le Cap)
Les contrôles suivants ne sont pas pris en charge dans la région Afrique (Le Cap).
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Hong Kong)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Hong Kong).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Hyderabad)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Hyderabad).
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Jakarta)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Jakarta).
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Malaisie)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Malaisie).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.2]AWS Backuples points de récupération doivent être étiquetés
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[DataSync.1] la journalisation des DataSync tâches doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées
-
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Melbourne)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Melbourne).
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Mumbai)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Mumbai).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Nouvelle Zélande)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Nouvelle Zélande).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.3] Les stages de l'API REST API Gateway doivent avoirAWS X-Raysuivi activé
-
[APIGateway.4] API Gateway doit être associée à une ACL Web WAF
-
[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être étiquetés
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.2]AWS Backuples points de récupération doivent être étiquetés
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[DataSync.1] la journalisation des DataSync tâches doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées
-
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[EKS.9] Les groupes de nœuds EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.16] Les équilibreurs de charge d'application doivent être associés à unAWS WAFACL web
-
[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.1] Les instances Amazon EC2 doivent être gérées parAWS Systems Manager
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[Transfer.1]AWS Transfer Familyles flux de travail doivent être balisés
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.11]AWS WAFla journalisation des ACL Web doit être activée
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Osaka)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Osaka).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Séoul)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Séoul).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Singapour)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Singapour).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Sydney)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Sydney).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Taipei)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Taipei).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.3] Les stages de l'API REST API Gateway doivent avoirAWS X-Raysuivi activé
-
[APIGateway.4] API Gateway doit être associée à une ACL Web WAF
-
[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être étiquetés
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.2]AWS Backuples points de récupération doivent être étiquetés
-
[Backup.3]AWS Backuples coffres-forts doivent être étiquetés
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Backup.5]AWS Backuples plans de sauvegarde doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[DataSync.1] la journalisation des DataSync tâches doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.39] Les passerelles Internet EC2 doivent être étiquetées
-
[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés
-
[EC2.48] Les journaux de flux Amazon VPC doivent être balisés
-
[EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées
-
[EC2.52] Les passerelles de transit EC2 doivent être étiquetées
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[ECS.15] Les définitions de tâches ECS doivent être étiquetées
-
[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées
-
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
-
[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[EKS.9] Les groupes de nœuds EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.7] La vidange des connexions doit être activée sur les équilibreurs de charge classiques
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.16] Les équilibreurs de charge d'application doivent être associés à unAWS WAFACL web
-
[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[ES.1] Le chiffrement au repos doit être activé dans les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
-
[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
-
[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[KMS.3]AWS KMS keysne doit pas être supprimé par inadvertance
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être étiquetés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être étiquetées
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.23] Les instances RDS ne doivent pas utiliser de port par défaut du moteur de base de données
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.28] Les clusters de base de données RDS doivent être balisés
-
[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés
-
[RDS.30] Les instances de base de données RDS doivent être étiquetées
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.32] Les instantanés de base de données RDS doivent être balisés
-
[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés
-
[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avecAWS KMS keys
-
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.1] Les instances Amazon EC2 doivent être gérées parAWS Systems Manager
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.1]AWS Transfer Familyles flux de travail doivent être balisés
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.11]AWS WAFla journalisation des ACL Web doit être activée
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Thaïlande)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Thaïlande).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être étiquetés
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.2]AWS Backuples points de récupération doivent être étiquetés
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[DataSync.1] la journalisation des DataSync tâches doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées
-
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[EKS.9] Les groupes de nœuds EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[Transfer.1]AWS Transfer Familyles flux de travail doivent être balisés
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Tokyo)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Tokyo).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Canada (Centre)
Les contrôles suivants ne sont pas pris en charge dans la région du Canada (Centre).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Canada-Ouest (Calgary)
Les contrôles suivants ne sont pas pris en charge dans la région de l'Ouest du Canada (Calgary).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[DataSync.1] la journalisation des DataSync tâches doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées
-
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Chine (Pékin)
Les contrôles suivants ne sont pas pris en charge dans la région de Chine (Pékin).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.20] Les deux tunnels VPN pour unAWSSite-to-Site La connexion VPN devrait être active
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.7] La protection contre la suppression des clusters RDS doit être activée
-
[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.28] Les clusters de base de données RDS doivent être balisés
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Chine (Ningxia)
Les contrôles suivants ne sont pas pris en charge dans la région de Chine (Ningxia).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.20] Les deux tunnels VPN pour unAWSSite-to-Site La connexion VPN devrait être active
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge
-
[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Europe (Francfort)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Francfort).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Europe (Irlande)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Irlande).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Europe (Londres)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Londres).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
Europe (Milan)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Milan).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Paris)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Paris).
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Espagne)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Espagne).
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Stockholm)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Stockholm).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Zurich)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Zurich).
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Israël (Tel Aviv)
Les contrôles suivants ne sont pas pris en charge dans la région d'Israël (Tel Aviv).
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Mexique (Centre)
Les contrôles suivants ne sont pas pris en charge dans la région du Mexique (centre).
-
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.2]AWS Backuples points de récupération doivent être étiquetés
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[DataSync.1] la journalisation des DataSync tâches doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
-
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées
-
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[EKS.9] Les groupes de nœuds EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Middle East (Bahrain)
Les contrôles suivants ne sont pas pris en charge dans la région Moyen-Orient (Bahreïn).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.20] Les deux tunnels VPN pour unAWSSite-to-Site La connexion VPN devrait être active
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le clientAWS KMS keys
-
[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
-
[EKS.9] Les groupes de nœuds EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Moyen-Orient (EAU)
Les contrôles suivants ne sont pas pris en charge dans la région Moyen-Orient (EAU).
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
-
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
-
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
-
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
-
[EKS.9] Les groupes de nœuds EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
-
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM
-
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
-
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[Lambda.7] Les fonctions Lambda devraient avoirAWS X-Raysuivi actif activé
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Amérique du Sud (São Paulo)
Les contrôles suivants ne sont pas pris en charge dans la région Amérique du Sud (São Paulo).
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
AWS GovCloud (US-East)
Les contrôles suivants ne sont pas pris en charge dans la AWS GovCloud (US-East) région.
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés
-
[EC2.52] Les passerelles de transit EC2 doivent être étiquetées
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
AWS GovCloud (US-West)
Les contrôles suivants ne sont pas pris en charge dans la AWS GovCloud (US-West) région.
-
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
-
[Account.2]Comptes AWSdevrait faire partie d'unAWS Organizationsorganization
-
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
-
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
-
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
-
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
-
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
-
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
-
[EC2.22] Les groupes de sécurité Amazon EC2 non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
-
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
-
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
-
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
-
[ECS.12] Les clusters ECS doivent utiliser Container Insights
-
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
-
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
-
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
-
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
-
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
-
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
-
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
-
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
-
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] Les clusters MSK doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[MSK.5] La journalisation des connecteurs MSK doit être activée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
-
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
-
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
-
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
-
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
-
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
-
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
-
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général
-
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
-
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
-
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
-
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
-
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés
-
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
-
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
-
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
-
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
-
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles