Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Playbooks [Cette solution inclut les correctifs relatifs aux normes de sécurité définies dans le cadre du [Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), CIS [AWS Foundations Benchmark [v3.0.0, AWS Foundational Security Best Practices (FSBP) v.1.0.0,](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)[Payment Card Industry Data Security Standard (PCI-DSS)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) v3.2.1 et National Institute of](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)[Standards and Technology (NIST)](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html).](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Si vous avez activé les résultats des contrôles consolidés, ces contrôles sont pris en charge dans toutes les normes. Si cette fonctionnalité est activée, seul le playbook SC doit être déployé. Si ce n'est pas le cas, les playbooks sont compatibles avec les normes répertoriées précédemment. **Important** Déployez uniquement les playbooks correspondant aux normes activées afin d'éviter d'atteindre les quotas de service. Pour plus de détails sur une correction spécifique, reportez-vous au document d'automatisation de Systems Manager portant le nom déployé par la solution dans votre compte. Accédez à la [console AWS Systems Manager](https://console.aws.amazon.com/systems-manager/), puis dans le volet de navigation, sélectionnez **Documents**. | Description | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | ID de contrôle de sécurité | | --- | --- | --- | --- | --- | --- | --- | --- | | **Nombre total de mesures correctives** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR- EnableAutoScalingGroup ELBHealth Vérifier** Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles de santé de l'équilibreur de charge | Mise à l'échelle automatique.1 | | Mise à l'échelle automatique.1 | | Mise à l'échelle automatique.1 | | Mise à l'échelle automatique.1 | | **ASR- ConfigureAutoScalingLaunchConfigToRequire IMDSv2** Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2) | | | | | Mise à l'échelle automatique.3 | | Mise à l'échelle automatique.3 | | **ASR- CreateCloudTrailMultiRegionTrail** CloudTrail doit être activé et configuré avec au moins un parcours multirégional | CloudTrail1. | 2.1 | CloudTrail2. | 3.1 | CloudTrail1. | 3.1 | CloudTrail1. | | **ASR- EnableEncryption** CloudTrail le chiffrement au repos doit être activé | CloudTrail2. | 2.7 | CloudTrail1. | 3.7 | CloudTrail2. | 3,5 | CloudTrail2. | | **ASR- EnableLogFileValidation** Assurez-vous que la validation du fichier CloudTrail journal est activée | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | CloudTrail4. | | CloudTrail4. | | **ASR- EnableCloudTrailToCloudWatchLogging** Assurez-vous que les CloudTrail sentiers sont intégrés à Amazon CloudWatch Logs | CloudTrail5. | 2,4 | CloudTrail4. | 3.4 | CloudTrail5. | | CloudTrail5. | | **ASR - Configure 3 BucketLogging** Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | | 2.6 | | 3.6 | | 3.4 | CloudTrail7. | | **ASR- ReplaceCodeBuildClearTextCredentials** CodeBuild les variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | **Activation ASR AWSConfig** Assurez-vous qu'AWS Config est activé | Config.1 | 2,5 | Config.1 | 3,5 | Config.1 | 3.3 | Config.1 | | **ASR-Make Private EBSSnapshots** Les instantanés Amazon EBS ne doivent pas être restaurables publiquement | EC21. | | EC21. | | EC21. | | EC21. | | **ASR-Supprimer VPCDefault SecurityGroupRules** Le groupe de sécurité VPC par défaut doit interdire le trafic entrant et sortant | EC22. | 4.3 | EC22. | 5.3 | EC22. | 5.4 | EC22. | | **Journaux compatibles avec l'ASR VPCFlow** La journalisation des flux VPC doit être activée dans tous les cas VPCs | EC26. | 2.9 | EC26. | 3.9 | EC26. | 3.7 | EC26. | | **ASR- EnableEbsEncryptionByDefault** Le chiffrement par défaut EBS doit être activé | EC27. | 2.2.1 | | | EC27. | 2.2.1 | EC27. | | **ASR- RevokeUnrotatedKeys** Les clés d'accès des utilisateurs doivent être renouvelées tous les 90 jours ou moins | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **Politique IAMPassword ASR-Set** Politique de mot de passe par défaut d'IAM | IAM.7 | 1,5-1,11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **RevokeUnusedIAMUserACCRÉDITATIONS ASR** Les informations d'identification de l'utilisateur doivent être désactivées si elles ne sont pas utilisées dans les 90 jours | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **RevokeUnusedIAMUserACCRÉDITATIONS ASR** Les informations d'identification de l'utilisateur doivent être désactivées si elles ne sont pas utilisées dans les 45 jours. | | | | 1.12 | | 1.12 | IAM.22 | | **ASR- RemoveLambdaPublicAccess** Les fonctions Lambda devraient interdire l'accès public | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-Make Private RDSSnapshot** Les instantanés RDS doivent interdire l'accès public | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR- DisablePublicAccessTo RDSInstance** Les instances de base de données RDS doivent interdire l'accès public | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **Cryptage ASR RDSSnapshot** Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR- EnableMulti AZOn RDSInstance** Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR- EnableEnhancedMonitoringOn RDSInstance** Une surveillance améliorée doit être configurée pour les instances et les clusters de base de données RDS | RDS.6 | | | | RDS.6 | | RDS.6 | | **Activation ASR RDSCluster DeletionProtection** La protection contre la suppression des clusters RDS doit être activée | RDS.7 | | | | RDS.7 | | RDS.7 | | **Activation ASR RDSInstance DeletionProtection** La protection contre la suppression des instances de base de données RDS doit être activée | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR- EnableMinorVersionUpgradeOn RDSDBInstance** Les mises à niveau automatiques des versions mineures de RDS doivent être activées | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR- EnableCopyTagsToSnapshotOn RDSCluster** Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR- DisablePublicAccessToRedshiftCluster** Les clusters Amazon Redshift devraient interdire l'accès public | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR- EnableAutomaticSnapshotsOnRedshiftCluster** Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR- EnableRedshiftClusterAuditLogging** La journalisation des audits doit être activée sur les clusters Amazon Redshift | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR- EnableAutomaticVersionUpgradeOnRedshiftCluster** Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **ASR - Configure 3 PublicAccessBlock** Le paramètre S3 Block Public Access doit être activé | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR - Configure 3 BucketPublicAccessBlock** Les compartiments S3 devraient interdire l'accès public à la lecture | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR - Configure 3 BucketPublicAccessBlock** Les compartiments S3 devraient interdire l'accès public en écriture | | S3.3 | | | | | S3.3 | | **EnableDefaultEncryptionASR-S3** Le chiffrement côté serveur doit être activé dans les compartiments S3 | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **Politique SSLBucket ASR-Set** Les compartiments S3 doivent nécessiter des demandes d'utilisation du protocole SSL | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3 BlockDenylist** Les autorisations Amazon S3 accordées à d'autres comptes AWS dans les politiques de compartiment doivent être limitées | S3.6 | | | | S3.6 | | S3.6 | | Le paramètre S3 Block Public Access doit être activé au niveau du bucket | S3.8 | | | | S3.8 | | S3.8 | | **ASR - Configure 3 BucketPublicAccessBlock** Assurez-vous que les CloudTrail logs du compartiment S3 ne sont pas accessibles au public | | 2.3 | | | | | CloudTrail6. | | **ASR- CreateAccessLoggingBucket** Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | | 2.6 | | | | | CloudTrail7. | | **ASR- EnableKeyRotation** Assurez-vous que la rotation pour les applications créées par le client CMKs est activée | | 2,8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés | | 3.1 | | 4.1 | | | Cloudwatch 1 | | **ASR- CreateLogMetricFilterAndAlarm** Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la connexion à AWS Management Console sans MFA | | 3.2 | | 4.2 | | | Cloudwatch 2 | | **ASR- CreateLogMetricFilterAndAlarm** Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour l'utilisation de l'utilisateur « root » | | 3.3 | CW.1 | 4.3 | | | Cloudwatch 3 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM | | 3.4 | | 4,4 | | | Cloudwatch 4 | | **ASR- CreateLogMetricFilterAndAlarm** Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration. | | 3,5 | | 4,5 | | | Cloudwatch 5 | | **ASR- CreateLogMetricFilterAndAlarm** Assurez-vous qu'un journal, un filtre métrique et une alarme existent en cas d'échec de l'authentification de l'AWS Management Console. | | 3.6 | | 4.6 | | | Cloudwatch 6 | | **ASR- CreateLogMetricFilterAndAlarm** Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la désactivation ou la suppression planifiée des fichiers créés par le client CMKs | | 3.7 | | 4,7 | | | Cloudwatch.7 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 | | 3.8 | | 4.8 | | | Cloudwatch.8 | | **ASR- CreateLogMetricFilterAndAlarm** Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications de configuration d'AWS Config. | | 3.9 | | 4,9 | | | Cloudwatch.9 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des groupes de sécurité | | 3,10 | | 4,10 | | | Cloudwatch.10 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des listes de contrôle d'accès réseau (ACL réseau) | | 3,11 | | 4,11 | | | Cloudwatch.11 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau | | 3,12 | | 4,12 | | | Cloudwatch.12 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage | | 3.13 | | 4,13 | | | Cloudwatch.13 | | **ASR- CreateLogMetricFilterAndAlarm** Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications VPC | | 3,14 | | 4,14 | | | Cloudwatch.14 | | **AWS- DisablePublicAccessForSecurityGroup** Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée entre 0.0.0.0/0 et le port 22 | | 4.1 | EC25. | | EC2.13 | | EC2.13 | | **AWS- DisablePublicAccessForSecurityGroup** Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée entre 0.0.0.0/0 et le port 3389 | | 4.2 | | | EC2.14 | | EC2.14 | | **Configuration ASR SNSTopic ForStack** | CloudFormation1. | | | | CloudFormation1. | | CloudFormation1. | | **Rôle ASR-Create IAMSupport** | | 1,20 | | 1,17 | | 1,17 | IAM.18 | | **ASR- DisablePublic IPAuto Attribuer** EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques | EC2.15 | | | | EC2.15 | | EC2.15 | | **ASR- EnableCloudTrailLogFileValidation** | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | | | CloudTrail4. | | **ASR- EnableEncryptionFor SNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR- EnableDeliveryStatusLoggingFor SNSTopic** L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR- EnableEncryptionFor SQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | L'instantané RDS **RDSSnapshotprivé d'ASR-Make** doit être privé | RDS.1 | | RDS.1 | | | | RDS.1 | | **Bloc ASR SSMDocument PublicAccess** Les documents SSM ne doivent pas être publics | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR- EnableCloudFrontDefaultRootObject** CloudFront les distributions doivent avoir un objet racine par défaut configuré | CloudFront1. | | | | CloudFront1. | | CloudFront1. | | **ASR- SetCloudFrontOriginDomain** CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes | CloudFront.12 | | | | CloudFront.12 | | CloudFront.12 | | **ASR- RemoveCodeBuildPrivilegedMode** CodeBuild les environnements de projet doivent disposer d'une configuration AWS de journalisation | CodeBuild5. | | | | CodeBuild5. | | CodeBuild5. | | **Instance ASR Terminer EC2** EC2 Les instances arrêtées doivent être supprimées après une période spécifiée | EC24. | | | | EC24. | | EC24. | | **Activation ASR IMDSV2 OnInstance** EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) | EC28. | | | | EC28. | 5.6 | EC28. | | **ASR- RevokeUnauthorizedInboudRules** Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés | EC2.18 | | | | EC2.18 | | EC2.18 | | INSÉREZ LE TITRE ICI Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé | EC2.19 | | | | EC2.19 | | EC2.19 | | **Désactiver l'ASR TGWAuto AcceptSharedAttachments** Amazon EC2 Transit Gateways ne doit pas accepter automatiquement les demandes de pièces jointes VPC | EC2.23 | | | | EC2.23 | | EC2.23 | | **ASR- EnablePrivateRepositoryScanning** La numérisation des images doit être configurée dans les référentiels privés ECR | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR- EnableGuardDuty** GuardDuty doit être activé | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | **ASR - Configure 3 BucketLogging** La journalisation des accès au serveur de compartiments S3 doit être activée | S3.9 | | | | S3.9 | | S3.9 | | **ASR- EnableBucketEventNotifications** Les notifications d'événements doivent être activées dans les compartiments S3 | S3.11 | | | | S3.11 | | S3.11 | | **Ensembles ASR 3 LifecyclePolicy** Les politiques de cycle de vie des compartiments S3 doivent être configurées | S3.13 | | | | S3.13 | | S3.13 | | **ASR- EnableAutoSecretRotation** La rotation automatique des secrets des secrets du Gestionnaire de secrets doit être activée | SecretsManager1. | | | | SecretsManager1. | | SecretsManager1. | | **ASR- RemoveUnusedSecret** Supprimer les secrets inutilisés de Secrets Manager | SecretsManager3. | | | | SecretsManager3. | | SecretsManager3. | | **ASR- UpdateSecretRotationPeriod** Les secrets de Secrets Manager doivent faire l'objet d'une rotation dans un délai spécifié | SecretsManager4. | | | | SecretsManager4. | | SecretsManager4. | | **Activation ASR APIGateway CacheDataEncryption** Les données du cache de l'API REST API Gateway doivent être chiffrées au repos | | | | | APIGateway5. | | APIGateway5. | | **ASR- SetLogGroupRetentionDays** CloudWatch les groupes de journaux doivent être conservés pendant une période spécifiée | | | | | CloudWatch.16 | | CloudWatch.16 | | **ASR- AttachService VPCEndpoint** Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2 | EC2.10 | | | | EC2.10 | | EC2.10 | | **ASR- TagGuardDutyResource** GuardDuty les filtres doivent être étiquetés | | | | | | | GuardDuty2. | | **ASR- TagGuardDutyResource** GuardDuty les détecteurs doivent être étiquetés | | | | | | | GuardDuty4. | | **ASR - Attacher SSMPermissions à EC2** EC2 Les instances Amazon doivent être gérées par Systems Manager | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR- ConfigureLaunchConfigNoPublic IPDocument** EC2 Les instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresse IP publique | | | | | Autoscaling.5 | | Autoscaling.5 | | **Activation ASR APIGateway ExecutionLogs** | APIGateway1. | | | | | | APIGateway1. | | **ASR- EnableMacie** Amazon Macie devrait être activé | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR- EnableAthenaWorkGroupLogging** La journalisation des groupes de travail Athena doit être activée | Athéna.4 | | | | | | Athéna.4 | | **ASR-Enforce LAB HTTPSFor** Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **Limite ASR ECSRoot FilesystemAccess** Les conteneurs ECS doivent être limités à l'accès en lecture seule aux systèmes de fichiers racines | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR- EnableElastiCacheBackups** ElastiCache Les sauvegardes automatiques des clusters (Redis OSS) doivent être activées | ElastiCache1. | | | | ElastiCache1. | | ElastiCache1. | | **ASR- EnableElastiCacheVersionUpgrades** ElastiCache les mises à niveau automatiques des versions mineures doivent être activées sur les clusters | ElastiCache2. | | | | ElastiCache2. | | ElastiCache2. | | **ASR- EnableElastiCacheReplicationGroupFailover** ElastiCache le basculement automatique doit être activé pour les groupes de réplication | ElastiCache3. | | | | ElastiCache3. | | ElastiCache3. | | **ASR- ConfigureDynamo DBAuto Mise à l'échelle** Les tables DynamoDB doivent automatiquement adapter la capacité à la demande | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **TagDynamoDBTableRessource ASR** Les tables DynamoDB doivent être balisées | | | | | | | Dynamo DB.5 | | **EnableDynamoDBDeletionProtection ASR** La protection contre la suppression des tables DynamoDB doit être activée | | | | | Dynamo DB.6 | | Dynamo DB.6 |