Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Migliori pratiche operative per NZISM 3.9 (Foundation)
<a name="operational-best-practices-for-nzism-foundation"></a>

I Conformance Pack forniscono un framework di conformità generico progettato per consentirti di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il [Manuale sulla sicurezza delle informazioni (NZISM) 2025-11 versione 3.9 del Government Communications Security Bureau (GCSB) della Nuova Zelanda e le regole](https://www.nzism.gcsb.govt.nz/ism-document) di Managed Config. AWS Ogni regola Config si applica a un tipo di AWS risorsa specifico e si riferisce a uno o più controlli NZISM. Un controllo NZISM può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature. Nelle mappature sono inclusi solo i controlli che rappresentano la pratica consigliata o di base per le informazioni classificate come RESTRICTED e di seguito.

Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del framework NZISM, parte integrante del framework Protective Security Requirements (PSR) che definisce le aspettative del governo neozelandese relativamente alla gestione del personale, delle informazioni e della sicurezza fisica.

La parte Foundation di questo pacchetto di conformità può essere distribuita a Sydney e nelle regioni del mondo. La parte NZ Transition contiene il sottoinsieme di regole Foundation Config attualmente disponibili nella regione Nuova Zelanda. La parte relativa alla Fondazione non verrà attualmente distribuita nella regione della Nuova Zelanda. La parte Extension di questo pacchetto di conformità può essere implementata nelle regioni di Sydney e Nuova Zelanda per aumentare le regole di Config fornite nelle parti Foundation e NZ Transition.

Il NZISM è concesso in licenza con la licenza Creative Commons Attribution 4.0 Nuova Zelanda, disponibile all'indirizzo. [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/) Per informazioni sul copyright, consulta [NZISM New Zealand Information Security Manual \| Legal, Privacy, and Copyright](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/).


****  

| ID controllo  | Descrizione del controllo  | Regola AWS Config  | Linee guida  | 
| --- | --- | --- | --- | 
| 1149 | Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.) | [ec2-instance-managed-by-systems-manager](ec2-instance-managed-by-systems-manager.md) | Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Usa AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sul tuo ambiente. | 
| 1149 | Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.) | [ec2-managedinstance-association-compliance-status-check](ec2-managedinstance-association-compliance-status-check.md) | Usa AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare linee di base per i livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente. | 
| 1149 | Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.) | [ecs-containers-nonprivileged](ecs-containers-nonprivileged.md) | Questo controllo verifica se il parametro privilegiato nella definizione del contenitore di Amazon ECS Task Definitions è impostato su true. Il controllo fallisce se questo parametro è uguale a true. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS. Ti consigliamo di rimuovere i privilegi elevati dalle definizioni delle attività ECS. Quando il parametro privilege è vero, al contenitore vengono assegnati privilegi elevati sull'istanza del contenitore host (simili all'utente root). | 
| 1149 | Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.) | [ecs-containers-readonly-access](ecs-containers-readonly-access.md) | Questo controllo verifica se i contenitori Amazon ECS sono limitati all'accesso in sola lettura ai filesystem root montati. Questo controllo ha esito negativo se il ReadonlyRootFilesystem parametro nella definizione del contenitore delle definizioni delle attività di Amazon ECS è impostato su false. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS. L'attivazione di questa opzione riduce i vettori di attacco alla sicurezza poiché il filesystem dell'istanza del contenitore non può essere manomesso o scritto su di esso a meno che l'istanza non disponga di autorizzazioni esplicite di lettura/scrittura sulla cartella e sulle directory del file system. Questo controllo aderisce anche al principio del privilegio minimo. | 
| 1154 | Incidenti di sicurezza delle informazioni, rilevamento degli incidenti di sicurezza delle informazioni, prevenzione e rilevamento degli incidenti di sicurezza delle informazioni (7.1.7. C.02.) | [abilitato per il monitoraggio del runtime di guardduty](guardduty-runtime-monitoring-enabled.md) | Questo controllo verifica se il Runtime Monitoring è abilitato per Amazon GuardDuty nel tuo account o organizzazione. Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in specifici carichi di lavoro AWS nel tuo ambiente. | 
| 1661 | Sicurezza del software, sviluppo di applicazioni Web, contenuto del sito Web dell'Agenzia (14.5.6. C.01.) | [cloudfront-default-root-object-configured](cloudfront-default-root-object-configured.md) | Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per restituire un oggetto specifico, ovvero l'oggetto root predefinito. Il controllo fallisce se nella CloudFront distribuzione non è configurato un oggetto root predefinito. A volte un utente può richiedere l'URL principale della distribuzione anziché un oggetto nella distribuzione. In tal caso, la specifica di un oggetto root predefinito può contribuire a evitare l'esposizione dei contenuti della distribuzione Web. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template DeployEdgeRules = true. | 
| 1667 | Sicurezza del software, sviluppo di applicazioni Web, applicazioni Web (14.5.8. C.01.) | [acm-certificate-expiration-check](acm-certificate-expiration-check.md) | Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 siano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per giorni. ToExpiration Il valore è 90 giorni. | 
| 1667 | Sicurezza del software, sviluppo di applicazioni Web, applicazioni Web (14.5.8. C.01.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 1841 | Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.) | [iam-user-mfa-enabled](iam-user-mfa-enabled.md) | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | 
| 1841 | Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.) | [mfa-enabled-for-iam-console-access](mfa-enabled-for-iam-console-access.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti IAM, puoi ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | 
| 1841 | Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.) | [root-account-hardware-mfa-enabled](root-account-hardware-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 1841 | Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.) | [root-account-mfa-enabled](root-account-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | [alb-http-to-https-controllo del reindirizzamento](alb-http-to-https-redirection-check.md) | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | [cloudfront-viewer-policy-https](cloudfront-viewer-policy-https.md) | Questo controllo verifica se una CloudFront distribuzione Amazon richiede agli spettatori di utilizzare direttamente HTTPS o se utilizza il reindirizzamento. Il controllo ha esito negativo se ViewerProtocolPolicy è impostato su allow-all per default CacheBehavior o per CacheBehaviors. Puoi utilizzare HTTPS (TLS) per impedire a potenziali aggressori di utilizzare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template = true. DeployEdgeRules  | 
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | [elasticsearch-node-to-node-encryption-check](elasticsearch-node-to-node-encryption-check.md) | Questo controllo verifica se i domini Elasticsearch hanno la crittografia da nodo a nodo abilitata. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito. | 
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | [opensearch-node-to-node-encryption-check](opensearch-node-to-node-encryption-check.md) | Questo controllo verifica se nei OpenSearch domini è abilitata la crittografia da nodo a nodo. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito. OpenSearch  | 
| 1893 | Controllo degli accessi e password, identificazione, autenticazione e password, sospensione dell'accesso (16.1.46. C.02.) | [iam-user-unused-credentials-check](iam-user-unused-credentials-check.md) | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarne la and/or rimozione, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola imposta un massimo di 30 giorni. CredentialUsageAge  | 
| 1946 | Controllo degli accessi e password, accesso utente privilegiato, utilizzo di account privilegiati (16.3.5. C.02.) | [iam-policy-no-statements-with-admin-access](iam-policy-no-statements-with-admin-access.md) | AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Allow» con «Action»: «\*» rispetto a «Resource»: «\*». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti. | 
| 1946 | Controllo degli accessi e password, accesso utente privilegiato, utilizzo di account privilegiati (16.3.5. C.02.) | [iam-root-access-key-check](iam-root-access-key-check.md) | L'accesso a sistemi e asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Invece, crea e usa account AWS basati sui ruoli per contribuire a incorporare il principio della minima funzionalità. | 
| 1998 | Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.) | [cloud-trail-cloud-watch-logs-enabled](cloud-trail-cloud-watch-logs-enabled.md) | È necessario eseguire la configurazione CloudTrail con CloudWatch Logs per monitorare i registri dei percorsi e ricevere notifiche quando si verificano attività specifiche. Questa regola verifica se i CloudTrail trail AWS sono configurati per inviare log ai log di Amazon CloudWatch . | 
| 1998 | Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | 
| 1998 | Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. La conservazione minima è di 18 mesi. | 
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | [api-gw-execution-logging-enabled](api-gw-execution-logging-enabled.md) | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | 
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo fallisce se la registrazione degli accessi non è abilitata per una distribuzione. CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta CloudFront . Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template = true DeployEdgeRules  | 
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | 
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | [elb-logging-enabled](elb-logging-enabled.md) | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | 
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | [rds-logging-enabled](rds-logging-enabled.md) | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | 
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | [wafv2-logging-enabled](wafv2-logging-enabled.md) | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. La registrazione di AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, informazioni sulla richiesta e un'azione per la regola a cui ogni richiesta corrisponde. | 
| 2022 | Controllo degli accessi e password, registrazione e controllo degli eventi, protezione dei registri degli eventi (16.6.12. C.01.) | [cloud-trail-log-file-validation-enabled](cloud-trail-log-file-validation-enabled.md) | Utilizza la convalida dei file di CloudTrail registro AWS per verificare l'integrità dei CloudTrail log. La convalida dei file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail  | 
| 2022 | Controllo degli accessi e password, registrazione e controllo degli eventi, protezione dei registri degli eventi (16.6.12. C.01.) | [cloudwatch-log-group-encrypted](cloudwatch-log-group-encrypted.md) | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | 
| 2028 | Controllo degli accessi e password, registrazione e controllo degli eventi, archivi dei registri degli eventi (16.6.13. C.01.) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. La conservazione minima è di 18 mesi. | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [cloud-trail-encryption-enabled](cloud-trail-encryption-enabled.md) | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi CloudTrail percorsi AWS. | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [ec2-ebs-encryption-by-default](ec2-ebs-encryption-by-default.md) | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [efs-encrypted-check](efs-encrypted-check.md) | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [elasticsearch-encrypted-at-rest](elasticsearch-encrypted-at-rest.md) | Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [encrypted-volumes](encrypted-volumes.md) | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (EBS). | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [opensearch-encrypted-at-rest](opensearch-encrypted-at-rest.md) | Questo controllo verifica se nei OpenSearch domini è abilitata la configurazione di crittografia a riposo. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando non è attivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [rds-snapshot-encrypted](rds-snapshot-encrypted.md) | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [rds-storage-encrypted](rds-storage-encrypted.md) | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | 
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [s3-bucket-server-side-encryption-enabled](s3-bucket-server-side-encryption-enabled.md) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | 
| 2090 | Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.) | [alb-http-to-https-controllo del reindirizzamento](alb-http-to-https-redirection-check.md) | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 2090 | Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 2090 | Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.) | [redshift-require-tls-ssl](redshift-require-tls-ssl.md) | Assicurati che i tuoi cluster Amazon Redshift richiedano la TLS/SSL crittografia per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 2598 | Crittografia, Transport Layer Security, utilizzo di TLS (17.4.16. C.01.) | [elb-custom-security-policy-ssl-check](elb-custom-security-policy-ssl-check.md) | Per proteggere i dati in transito, assicurati che i tuoi listener ElasticLoadBalancer SSL Classic utilizzino una politica di sicurezza personalizzata. Queste policy possono fornire diversi algoritmi crittografici ad alta resistenza per contribuire a garantire comunicazioni di rete crittografate tra i sistemi. Questa regola richiede l'impostazione di una policy di sicurezza personalizzata per gli ascoltatori SSL. La politica di sicurezza è: Protocol-TLSv1.2,. ECDHE-ECDSA-AES128-GCM-SHA256 | 
| 2600 | Crittografia, sicurezza del livello di trasporto, utilizzo di TLS (17.4.16. C.02.) | [elb-custom-security-policy-ssl-check](elb-custom-security-policy-ssl-check.md) | Per proteggere i dati in transito, assicurati che i tuoi listener ElasticLoadBalancer SSL Classic utilizzino una politica di sicurezza personalizzata. Queste policy possono fornire diversi algoritmi crittografici ad alta resistenza per contribuire a garantire comunicazioni di rete crittografate tra i sistemi. Questa regola richiede l'impostazione di una policy di sicurezza personalizzata per gli ascoltatori SSL. La politica di sicurezza predefinita è: Protocol-TLSv1.2,. ECDHE-ECDSA-AES128-GCM-SHA256 | 
| 2726 | Crittografia, Secure Shell, Accesso remoto automatizzato (17.5.8. C.02.) | [restricted-ssh](restricted-ssh.md) | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Non è consentito il traffico in ingresso (o remoto) a partire dalla versione 0.0.0. 0/0 la porta 22 sulle tue risorse ti aiuta a limitare l'accesso remoto. | 
| 3021 | Crittografia, gestione delle chiavi, contenuti dei KMP (17.9.25. C.01.) | [cmk-backing-key-rotation-enabled](cmk-backing-key-rotation-enabled.md) | Amazon Key Management Service (KMS) consente ai clienti di ruotare la chiave di supporto, che è materiale chiave archiviato in AWS KMS ed è legato all'ID chiave della chiave gestita dal cliente (CMK). È la chiave di supporto utilizzata per eseguire operazioni di crittografia, ad esempio la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di supporto precedenti, in modo che la decrittografia di dati crittografati possa essere eseguita in modo trasparente. La rotazione delle chiavi di crittografia consente di ridurre l'impatto potenziale di una chiave compromessa perché i dati crittografati con una nuova chiave non sono accessibili con una chiave precedente che potrebbe essere stata esposta. | 
| 3205 | Sicurezza della rete, gestione della rete, limitazione dell'accesso alla rete (18.1.13. C.02.) | [vpc-sg-open-only-to-authorized-ports](vpc-sg-open-only-to-authorized-ports.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0. 0/0) l'accesso remoto può essere controllato ai sistemi interni. L'elenco delle porte Internet autorizzate è: solo 443 | 
| 3449 | Sicurezza del prodotto, applicazione di patch e aggiornamento del prodotto, correzione delle vulnerabilità nei prodotti (12.4.4. C.02.) | [ec2-managedinstance-patch-compliance-status-check](ec2-managedinstance-patch-compliance-status-check.md) | Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | 
| 3449 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.02.) | [ecr-private-image-scanning-enabled](ecr-private-image-scanning-enabled.md) | Questo controllo verifica se in un repository privato Amazon Elastic Container Registry (ECR) è configurata la scansione delle immagini. Questo controllo ha esito negativo se in un repository ECR privato non è configurata la scansione delle immagini. Tieni presente che devi anche configurare scan on push per ogni repository per passare questo controllo. La scansione delle immagini ECR aiuta a identificare le vulnerabilità del software nelle immagini dei container. ECR utilizza il database Common Vulnerabilities and Exposures (CVeS) del progetto open source Clair e fornisce un elenco dei risultati della scansione. L'abilitazione della scansione delle immagini sui repository ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate. | 
| 3449 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, applicazione di patch alle vulnerabilità nei prodotti (12.4.4. C.02.) | [redshift-cluster-maintenancesettings-check](redshift-cluster-maintenancesettings-check.md) | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questo set di regole consente VersionUpgrade a true. | 
| 3451 | Sicurezza del prodotto, applicazione di patch e aggiornamento del prodotto, applicazione di patch alle vulnerabilità nei prodotti (12.4.4. C.04.) | [ec2-managedinstance-patch-compliance-status-check](ec2-managedinstance-patch-compliance-status-check.md) | Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | 
| 3452 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.05.) | [ec2-managedinstance-patch-compliance-status-check](ec2-managedinstance-patch-compliance-status-check.md) | Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | 
| 3452 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.05.) | [elastic-beanstalk-managed-updates-enabled](elastic-beanstalk-managed-updates-enabled.md) | Questo controllo verifica se gli aggiornamenti della piattaforma gestita sono abilitati per l'ambiente Elastic Beanstalk. L'abilitazione degli aggiornamenti gestiti della piattaforma garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi. | 
| 3452 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, correzione delle vulnerabilità nei prodotti (12.4.4. C.05.) | [rds-automatic-minor-version-upgrade-enabled](rds-automatic-minor-version-upgrade-enabled.md) | Questo controllo verifica se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database Amazon Relational Database Service (RDS). L'abilitazione degli aggiornamenti automatici delle versioni secondarie garantisce l'installazione degli ultimi aggiornamenti delle versioni secondarie del sistema di gestione dei database relazionali (RDBMS). Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi. | 
| 3453 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, correzione delle vulnerabilità nei prodotti (12.4.4. C.06.) | [ec2-managedinstance-patch-compliance-status-check](ec2-managedinstance-patch-compliance-status-check.md) | Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione. | 
| 3453 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.06.) | [redshift-cluster-maintenancesettings-check](redshift-cluster-maintenancesettings-check.md) | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questo set di regole consente VersionUpgrade a true. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [cloudfront-associated-with-waf](cloudfront-associated-with-waf.md) | Questo controllo verifica se CloudFront le distribuzioni sono associate agli ACL web AWS WAF o AWS WAFv2. Il controllo fallisce se la distribuzione non è associata a un ACL web. AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un set di regole denominato lista di controllo degli accessi Web (ACL web) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua CloudFront distribuzione sia associata a un ACL web AWS WAF per proteggerla da attacchi dannosi. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con template parameter DeployEdgeRules = true. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [dms-replication-not-public](dms-replication-not-public.md) | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica di AWS Database Migration Service (DMS) non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [ec2-imdsv2-check](ec2-imdsv2-check.md) | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [ec2-instance-no-public-ip](ec2-instance-no-public-ip.md) | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [ec2-instances-in-vpc](ec2-instances-in-vpc.md) | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [elasticsearch-in-vpc-only](elasticsearch-in-vpc-only.md) | Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi l'ACL di rete e i gruppi di sicurezza | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [emr-master-no-public-ip](emr-master-no-public-ip.md) | Gestisci l'accesso al cloud AWS assicurando che i nodi master del cluster Amazon Elastic MapReduce (EMR) non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [guardduty-enabled-centralized](guardduty-enabled-centralized.md) | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [lambda-function-public-access-prohibited](lambda-function-public-access-prohibited.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni di AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [opensearch-in-vpc-only](opensearch-in-vpc-only.md) | Questo controllo verifica se i OpenSearch domini si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [rds-instance-public-access-check](rds-instance-public-access-check.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [redshift-cluster-public-access-check](redshift-cluster-public-access-check.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [s3-account-level-public-access-blocks-periodic](s3-account-level-public-access-blocks-periodic.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su True, block PublicPolicy su True, block PublicAcls su True e limit PublicBuckets su True. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [sagemaker-notebook-no-direct-internet-access](sagemaker-notebook-no-direct-internet-access.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [vpc-default-security-group-closed](vpc-default-security-group-closed.md) | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | 
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [vpc-flow-logs-enabled](vpc-flow-logs-enabled.md) | I log di flusso del cloud privato virtuale (VPC) forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | 
| 3623 | Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.) | [elasticsearch-in-vpc-only](elasticsearch-in-vpc-only.md) | Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi ACL di rete e gruppi di sicurezza. | 
| 3623 | Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.) | [opensearch-in-vpc-only](opensearch-in-vpc-only.md) | Questo controllo verifica se i OpenSearch domini si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza. | 
| 3623 | Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.) | [rds-instance-public-access-check](rds-instance-public-access-check.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | 
| 3623 | Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.) | [redshift-cluster-public-access-check](redshift-cluster-public-access-check.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | 
| 3815 | Sicurezza della rete, rilevamento e prevenzione delle intrusioni, IDS/IPS manutenzione (18.4.9. C.01.) | [guardduty-enabled-centralized](guardduty-enabled-centralized.md) | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS. | 
| 3857 | Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.) | [abilitato al controllo di protezione guardduty-eks](guardduty-eks-protection-audit-enabled.md) | Questo controllo verifica se GuardDuty EKS Audit Log Monitoring è abilitato. GuardDuty EKS Audit Log Monitoring ti aiuta a rilevare attività potenzialmente sospette nei cluster Amazon Elastic Kubernetes Service (Amazon EKS). Il monitoraggio dei log di audit EKS utilizza i log di audit di Kubernetes per acquisire le attività cronologiche degli utenti, delle applicazioni che utilizzano l'API Kubernetes e il piano di controllo (control-plane). | 
| 3857 | Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.) | [abilitato per guardduty-eks-protection-runtime](guardduty-eks-protection-runtime-enabled.md) | Questo controllo verifica se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è abilitato. EKS Protection in Amazon GuardDuty fornisce una copertura per il rilevamento delle minacce per aiutarti a proteggere i cluster Amazon EKS all'interno del tuo ambiente AWS. EKS Runtime Monitoring utilizza eventi a livello di sistema operativo per aiutarti a rilevare potenziali minacce nei nodi e nei contenitori EKS all'interno dei cluster EKS. | 
| 3857 | Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.) | [abilitato alla protezione lambda guardduty](guardduty-lambda-protection-enabled.md) | Questo controllo verifica se la protezione GuardDuty Lambda è abilitata. GuardDuty Lambda Protection ti aiuta a identificare potenziali minacce alla sicurezza quando viene richiamata una funzione AWS Lambda. Dopo aver abilitato Lambda Protection, GuardDuty inizia a monitorare i log delle attività di rete Lambda associati alle funzioni Lambda nel tuo account AWS. Quando viene richiamata una funzione Lambda e GuardDuty identifica traffico di rete sospetto che indica la presenza di un codice potenzialmente dannoso nella funzione Lambda, genera un risultato. GuardDuty  | 
| 3857 | Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.) | [abilitato alla protezione guardduty-s3](guardduty-s3-protection-enabled.md) | Questo controllo verifica se GuardDuty S3 Protection è abilitato. S3 Protection consente di monitorare le operazioni API GuardDuty a livello di oggetto per identificare potenziali rischi di sicurezza per i dati all'interno dei bucket Amazon S3. GuardDuty monitora le minacce contro le tue risorse S3 analizzando gli eventi di gestione CloudTrail AWS CloudTrail e gli eventi relativi ai dati S3. | 
| 3875 | Sicurezza di rete, rilevamento e prevenzione delle intrusioni, gestione degli eventi e correlazione (18.4.12. C.01.) | [guardduty-enabled-centralized](guardduty-enabled-centralized.md) | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS. | 
| 3875 | Sicurezza di rete, rilevamento e prevenzione delle intrusioni, gestione degli eventi e correlazione (18.4.12. C.01.) | [securityhub-enabled](securityhub-enabled.md) | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | 
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | [elasticsearch-encrypted-at-rest](elasticsearch-encrypted-at-rest.md) | Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | 
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | [opensearch-encrypted-at-rest](opensearch-encrypted-at-rest.md) | Questo controllo verifica se nei OpenSearch domini è abilitata la configurazione di crittografia a riposo. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando non è attivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | 
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | [rds-logging-enabled](rds-logging-enabled.md) | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | 
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | [rds-snapshot-encrypted](rds-snapshot-encrypted.md) | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | 
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | [rds-snapshots-public-prohibited](rds-snapshots-public-prohibited.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | 
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | [rds-storage-encrypted](rds-storage-encrypted.md) | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | 
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | [redshift-cluster-configuration-check](redshift-cluster-configuration-check.md) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su true e loggingEnabled su true. | 
| 4445 | Gestione dei dati, database, responsabilità (20.4.5. C.02.) | [rds-logging-enabled](rds-logging-enabled.md) | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | 
| 4445 | Gestione dei dati, database, responsabilità (20.4.5. C.02.) | [redshift-cluster-configuration-check](redshift-cluster-configuration-check.md) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su true e loggingEnabled su true. | 
| 4829 | Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.) | [dynamodb-autoscaling-enabled](dynamodb-autoscaling-enabled.md) | La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. Ciò consente a una tabella o a un indice secondario globale di aumentare la read/write capacità assegnata per gestire aumenti improvvisi del traffico, senza limitazioni. | 
| 4829 | Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.) | [elb-cross-zone-load-balancing-enabled](elb-cross-zone-load-balancing-enabled.md) | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | 
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | [cloudtrail-s3-dataevents-enabled](cloudtrail-s3-dataevents-enabled.md) | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'account AWS che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | 
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | [ebs-snapshot-public-restorable-check](ebs-snapshot-public-restorable-check.md) | Gestisci l'accesso al cloud AWS assicurando che le snapshot di Amazon Elastic Block Store (EBS) non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | 
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | [s3-account-level-public-access-blocks-periodic](s3-account-level-public-access-blocks-periodic.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su True, block PublicPolicy su True, block PublicAcls su True e limit PublicBuckets su True. | 
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | [s3-bucket-public-read-prohibited](s3-bucket-public-read-prohibited.md) | Gestisci l'accesso alle risorse nel cloud AWS permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | 
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | [s3-bucket-public-write-prohibited](s3-bucket-public-write-prohibited.md) | Gestisci l'accesso alle risorse nel cloud AWS permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave Key Management Service (KMS) di proprietà di AWS. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [efs-encrypted-check](efs-encrypted-check.md) | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [elasticsearch-encrypted-at-rest](elasticsearch-encrypted-at-rest.md) | Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [elasticsearch-node-to-node-encryption-check](elasticsearch-node-to-node-encryption-check.md) | Questo controllo verifica se i domini Elasticsearch hanno la crittografia da nodo a nodo abilitata. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [elb-tls-https-listeners-only](elb-tls-https-listeners-only.md) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [encrypted-volumes](encrypted-volumes.md) | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (EBS). | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [opensearch-encrypted-at-rest](opensearch-encrypted-at-rest.md) | Questo controllo verifica se nei OpenSearch domini è abilitata la configurazione di crittografia a riposo. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando non è attivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [opensearch-node-to-node-encryption-check](opensearch-node-to-node-encryption-check.md) | Questo controllo verifica se nei OpenSearch domini è abilitata la crittografia da nodo a nodo. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito. OpenSearch  | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [rds-snapshot-encrypted](rds-snapshot-encrypted.md) | Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [rds-storage-encrypted](rds-storage-encrypted.md) | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [redshift-cluster-configuration-check](redshift-cluster-configuration-check.md) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su true e loggingEnabled su true. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [redshift-require-tls-ssl](redshift-require-tls-ssl.md) | Assicurati che i tuoi cluster Amazon Redshift richiedano la TLS/SSL crittografia per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [s3-bucket-ssl-requests-only](s3-bucket-ssl-requests-only.md) | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [sagemaker-endpoint-configuration-kms-key-configured](sagemaker-endpoint-configuration-kms-key-configured.md) | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [sagemaker-notebook-instance-kms-key-configured](sagemaker-notebook-instance-kms-key-configured.md) | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati. | 
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [secretsmanager-using-cmk](secretsmanager-using-cmk.md) | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (KMS) sia abilitata per i segreti di AWS Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | 
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | [db-instance-backup-enabled](db-instance-backup-enabled.md) | La funzionalità di backup di Amazon Relational Database Service (RDS) crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | 
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, gestisce i backup garantendo che il ripristino point-in-time sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | 
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | [elasticache-redis-cluster-automatic-backup-check](elasticache-redis-cluster-automatic-backup-check.md) | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | 
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | [rds-cluster-deletion-protection-enabled](rds-cluster-deletion-protection-enabled.md) | Assicurati che le istanze di Amazon Relational Database Service (RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le istanze RDS vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle applicazioni. | 
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | [rds-instance-deletion-protection-enabled](rds-instance-deletion-protection-enabled.md) | Assicurati che le istanze di Amazon Relational Database Service (RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | 
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | [redshift-backup-enabled](redshift-backup-enabled.md) | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB per nodo di modifiche ai dati, a seconda di quale situazione si verifichi prima. | 
| 6843 | Controllo degli accessi e password, gestione degli accessi privilegiati, principio del privilegio minimo (16.4.31. C.02.) | [mfa-enabled-for-iam-console-access](mfa-enabled-for-iam-console-access.md) | Multi-factor l'autenticazione (MFA) aggiunge ulteriore sicurezza richiedendo agli utenti di fornire un'autenticazione unica tramite un meccanismo AWS-supported MFA, oltre alle normali credenziali di accesso, quando accedono a siti Web o servizi AWS. I meccanismi supportati includono chiavi di sicurezza U2F, dispositivi MFA virtuali o hardware e codici. SMS-based Questa regola verifica se AWS MFA è abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che utilizzano una password di console. La regola è conforme se l'MFA è abilitata. | 
| 6843 | Controllo degli accessi e password, gestione degli accessi privilegiati, principio del privilegio minimo (16.4.31. C.02.) | [root-account-hardware-mfa-enabled](root-account-hardware-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 6852 | Controllo degli accessi e password, gestione degli accessi privilegiati, sospensione e revoca delle credenziali di accesso privilegiato (16.4.33. C.01.) | [iam-user-unused-credentials-check](iam-user-unused-credentials-check.md) | AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarne la and/or rimozione, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola imposta un massimo di 30 giorni. CredentialUsageAge  | 
| 6860 | Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.02.) | [cloud-trail-cloud-watch-logs-enabled](cloud-trail-cloud-watch-logs-enabled.md) | È necessario eseguire la configurazione CloudTrail con CloudWatch Logs per monitorare i registri dei percorsi e ricevere notifiche quando si verificano attività specifiche. Questa regola verifica se i CloudTrail trail AWS sono configurati per inviare log ai log di Amazon CloudWatch . | 
| 6860 | Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.02.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | 
| 6861 | Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.03.) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | Questa regola aiuta a garantire l'uso delle best practice di sicurezza consigliate da AWS per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più regioni. | 
| 6953 | Controllo degli accessi e password, Multi-Factor autenticazione, architettura di sistema e controlli di sicurezza (16.7.34. C.02.) | [mfa-enabled-for-iam-console-access](mfa-enabled-for-iam-console-access.md) | Multi-factor l'autenticazione (MFA) aggiunge ulteriore sicurezza richiedendo agli utenti di fornire un'autenticazione unica tramite un meccanismo AWS-supported MFA, oltre alle normali credenziali di accesso, quando accedono a siti Web o servizi AWS. I meccanismi supportati includono chiavi di sicurezza U2F, dispositivi MFA virtuali o hardware e codici. SMS-based Questa regola verifica se AWS MFA è abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che utilizzano una password di console. La regola è conforme se l'MFA è abilitata. | 
| 6953 | Controllo degli accessi e password, Multi-Factor autenticazione, architettura di sistema e controlli di sicurezza (16.7.34. C.02.) | [root-account-hardware-mfa-enabled](root-account-hardware-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 7436 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [iam-user-mfa-enabled](iam-user-mfa-enabled.md) | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | 
| 7436 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [mfa-enabled-for-iam-console-access](mfa-enabled-for-iam-console-access.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti IAM, puoi ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | 
| 7436 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [root-account-hardware-mfa-enabled](root-account-hardware-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 7436 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [root-account-mfa-enabled](root-account-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 7437 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [iam-user-mfa-enabled](iam-user-mfa-enabled.md) | Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM. | 
| 7437 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [mfa-enabled-for-iam-console-access](mfa-enabled-for-iam-console-access.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti IAM, puoi ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | 
| 7437 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [root-account-hardware-mfa-enabled](root-account-hardware-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 7437 | Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.) | [root-account-mfa-enabled](root-account-mfa-enabled.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [dms-replication-not-public](dms-replication-not-public.md) | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica di AWS Database Migration Service (DMS) non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [ec2-imdsv2-check](ec2-imdsv2-check.md) | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [ec2-instance-no-public-ip](ec2-instance-no-public-ip.md) | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [ec2-instances-in-vpc](ec2-instances-in-vpc.md) | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [elasticsearch-in-vpc-only](elasticsearch-in-vpc-only.md) | Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi l'ACL di rete e i gruppi di sicurezza | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [emr-master-no-public-ip](emr-master-no-public-ip.md) | Gestisci l'accesso al cloud AWS assicurando che i nodi master del cluster Amazon Elastic MapReduce (EMR) non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [guardduty-enabled-centralized](guardduty-enabled-centralized.md) | Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [lambda-function-public-access-prohibited](lambda-function-public-access-prohibited.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni di AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [opensearch-in-vpc-only](opensearch-in-vpc-only.md) | Questo controllo verifica se i OpenSearch domini si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [rds-instance-public-access-check](rds-instance-public-access-check.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [redshift-cluster-public-access-check](redshift-cluster-public-access-check.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [s3-account-level-public-access-blocks-periodic](s3-account-level-public-access-blocks-periodic.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su True, block PublicPolicy su True, block PublicAcls su True e limit PublicBuckets su True. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [sagemaker-notebook-no-direct-internet-access](sagemaker-notebook-no-direct-internet-access.md) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [ssm-document-not-public](ssm-document-not-public.md) | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [vpc-default-security-group-closed](vpc-default-security-group-closed.md) | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | 
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [vpc-flow-logs-enabled](vpc-flow-logs-enabled.md) | I log di flusso del cloud privato virtuale (VPC) forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [api-gw-execution-logging-enabled](api-gw-execution-logging-enabled.md) | La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti. | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [cloud-trail-log-file-validation-enabled](cloud-trail-log-file-validation-enabled.md) | Utilizza la convalida dei file di CloudTrail registro AWS per verificare l'integrità dei CloudTrail log. La convalida dei file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail  | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [cloudfront-accesslogs-enabled](cloudfront-accesslogs-enabled.md) | Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo fallisce se la registrazione degli accessi non è abilitata per una distribuzione. CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta CloudFront . Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Questa regola deve essere applicata nella regione us-east-1. | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [cloudtrail-enabled](cloudtrail-enabled.md) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [cloudwatch-log-group-encrypted](cloudwatch-log-group-encrypted.md) | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [elb-logging-enabled](elb-logging-enabled.md) | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [rds-logging-enabled](rds-logging-enabled.md) | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | 
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | [wafv2-logging-enabled](wafv2-logging-enabled.md) | Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. La registrazione di AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, informazioni sulla richiesta e un'azione per la regola a cui ogni richiesta corrisponde. | 
| 7545 | Controllo degli accessi e password, identificazione, autenticazione e autenticazione, password e policy (16.1.31. C.02.) | [iam-password-policy](iam-password-policy.md) | Garantisci modifiche annuali delle password sui sistemi che non hanno implementato l'autenticazione a più fattori (MFA) o l'autenticazione senza password. | 
| 7546 | Controllo degli accessi e password, identificazione, autenticazione e autenticazione, password e policy (16.1.31. C.03.) | [iam-password-policy](iam-password-policy.md) | Garantire una lunghezza minima della password di 16 caratteri (ad esempio quattro parole). Le password devono essere lunghe, sicure e uniche. Non viene imposto alcun requisito di complessità esplicito (ad esempio numeri o caratteri speciali), tuttavia le password devono essere uniche o casuali e possono includere caratteri e numeri speciali a tal fine. | 

## Modello
<a name="nzism-foundation-conformance-pack-sample"></a>

```
            ##################################################################################
            #
            #   Conformance Pack:
            #     Operational Best Practices for NZISM Foundation
            #
            #   This conformance pack helps verify compliance with NZISM requirements.
            #
            ##################################################################################

            Resources:
              AcmCertificateExpirationCheck:
                Controls: [ '1667' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: acm-certificate-expiration-check
                  InputParameters:
                    daysToExpiration: '30'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ACM::Certificate
                  Source:
                    Owner: AWS
                    SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK
                  Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications"
              AlbHttpToHttpsRedirectionCheck:
                Controls: [ '1847', '2090' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: alb-http-to-https-redirection-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..."
              ApiGwExecutionLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: api-gw-execution-logging-enabled
                  InputParameters:
                    loggingLevel: 'ERROR, INFO'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ApiGateway::Stage
                      - AWS::ApiGatewayV2::Stage
                  Source:
                    Owner: AWS
                    SourceIdentifier: API_GW_EXECUTION_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudTrailCloudWatchLogsEnabled:
                Controls: [ '1998', '6860' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-cloud-watch-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..."
              CloudTrailEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-encryption-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              CloudTrailLogFileValidationEnabled:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-log-file-validation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CloudfrontAccesslogsEnabled:
                Condition: IsEdge
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-accesslogs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudfrontAssociatedWithWaf:
                Condition: IsEdge
                Controls: [ '3562' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-associated-with-waf
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF
                  Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways"
              CloudfrontDefaultRootObjectConfigured:
                Condition: IsEdge
                Controls: [ '1661' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-default-root-object-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED
                  Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content"
              CloudfrontViewerPolicyHttps:
                Condition: IsEdge
                Controls: [ '1847' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-viewer-policy-https
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS
                  Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit"
              CloudtrailEnabled:
                Controls: [ '1998', '2013', '6860', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..."
              CloudtrailS3DataeventsEnabled:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-s3-dataevents-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              CloudtrailSecurityTrailEnabled:
                Controls: [ '6861' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-security-trail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED
                  Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review"
              CloudwatchLogGroupEncrypted:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudwatch-log-group-encrypted
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CmkBackingKeyRotationEnabled:
                Controls: [ '3021' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cmk-backing-key-rotation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
                  Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs"
              CwLoggroupRetentionPeriodCheck:
                Controls: [ '1998', '2028' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cw-loggroup-retention-period-check
                  InputParameters:
                    MinRetentionTime: '545'
                  Source:
                    Owner: AWS
                    SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..."
              DbInstanceBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: db-instance-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DmsReplicationNotPublic:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dms-replication-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              DynamodbAutoscalingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-autoscaling-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              DynamodbPitrEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-pitr-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_PITR_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DynamodbTableEncryptedKms:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-table-encrypted-kms
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              EbsSnapshotPublicRestorableCheck:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ebs-snapshot-public-restorable-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              Ec2EbsEncryptionByDefault:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-ebs-encryption-by-default
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              Ec2Imdsv2Check:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-imdsv2-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_IMDSV2_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstanceManagedBySystemsManager:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-managed-by-systems-manager
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                      - AWS::SSM::ManagedInstanceInventory
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2InstanceNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-no-public-ip
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstancesInVpc:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instances-in-vpc
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: INSTANCES_IN_VPC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2ManagedinstanceAssociationComplianceStatusCheck:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-association-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::AssociationCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2ManagedinstancePatchComplianceStatusCheck:
                Controls: [ '3449', '3451', '3452', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-patch-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::PatchCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.04[CID:3451], SHOULD 12.4.4.C.05[CID:3452], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Pa..."
              EcrPrivateImageScanningEnabled:
                Controls: [ '3449' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecr-private-image-scanning-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECR::Repository
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECR_PRIVATE_IMAGE_SCANNING_ENABLED
                  Description: "MUST 12.4.4.C.02[CID:3449]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              EcsContainersNonprivileged:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-nonprivileged
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_NONPRIVILEGED
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EcsContainersReadonlyAccess:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-readonly-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_READONLY_ACCESS
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EfsEncryptedCheck:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: efs-encrypted-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EFS_ENCRYPTED_CHECK
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              ElasticBeanstalkManagedUpdatesEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elastic-beanstalk-managed-updates-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticBeanstalk::Environment
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              ElasticacheRedisClusterAutomaticBackupCheck:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticache-redis-cluster-automatic-backup-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              ElasticsearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-encrypted-at-rest
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              ElasticsearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-in-vpc-only
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              ElasticsearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Elasticsearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              ElbCrossZoneLoadBalancingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-cross-zone-load-balancing-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              ElbCustomSecurityPolicySslCheck:
                Controls: [ '2598', '2600' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-custom-security-policy-ssl-check
                  InputParameters:
                    sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK
                  Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS"
              ElbLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                      - AWS::ElasticLoadBalancingV2::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              ElbTlsHttpsListenersOnly:
                Controls: [ '1667', '1847', '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-tls-https-listeners-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY
                  Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..."
              EmrMasterNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: emr-master-no-public-ip
                  Source:
                    Owner: AWS
                    SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              EncryptedVolumes:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: encrypted-volumes
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Volume
                  Source:
                    Owner: AWS
                    SourceIdentifier: ENCRYPTED_VOLUMES
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              GuarddutyEksProtectionAuditEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-audit-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEksProtectionRuntimeEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-runtime-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEnabledCentralized:
                Controls: [ '3562', '3815', '3875', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-enabled-centralized
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_ENABLED_CENTRALIZED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 18.4.9.C.01[CID:3815], SHOULD 18.4.12.C.01[CID:3875], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateway..."
              GuarddutyLambdaProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-lambda-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_LAMBDA_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyRuntimeMonitoringEnabled:
                Controls: [ '1154' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-runtime-monitoring-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_RUNTIME_MONITORING_ENABLED
                  Description: "SHOULD 7.1.7.C.02[CID:1154]| Information Security Incidents/Detecting Information Security Incidents/Preventing and detecting information security incidents"
              GuarddutyS3ProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-s3-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_S3_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              IamPasswordPolicy:
                Controls: [ '7545', '7546' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-password-policy
                  InputParameters:
                    MaxPasswordAge: '1095'
                    MinimumPasswordLength: '16'
                    PasswordReusePrevention: '24'
                    RequireUppercaseCharacters: 'false'
                    RequireLowercaseCharacters: 'false'
                    RequireSymbols: 'false'
                    RequireNumbers: 'false'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_PASSWORD_POLICY
                  Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy"
              IamPolicyNoStatementsWithAdminAccess:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-policy-no-statements-with-admin-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::IAM::Policy
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamRootAccessKeyCheck:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-root-access-key-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamUserMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              IamUserUnusedCredentialsCheck:
                Controls: [ '1893', '6852' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-unused-credentials-check
                  InputParameters:
                    maxCredentialUsageAge: '90'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
                  Description: "SHOULD 16.1.46.C.02[CID:1893], MUST 16.4.33.C.01[CID:6852]| Access Control and Passwords: (Identification, Authentication and Passwords/Suspension of access and Privi..."
              LambdaFunctionPublicAccessProhibited:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: lambda-function-public-access-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Lambda::Function
                  Source:
                    Owner: AWS
                    SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              MfaEnabledForIamConsoleAccess:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: mfa-enabled-for-iam-console-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              OpensearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-encrypted-at-rest
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              OpensearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-in-vpc-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              OpensearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              RdsAutomaticMinorVersionUpgradeEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-automatic-minor-version-upgrade-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RdsClusterDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-cluster-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBCluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstanceDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstancePublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RdsLoggingEnabled:
                Controls: [ '2013', '4441', '4445', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..."
              RdsSnapshotEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshot-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RdsSnapshotsPublicProhibited:
                Controls: [ '4441' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshots-public-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED
                  Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files"
              RdsStorageEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-storage-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_STORAGE_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RedshiftBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RedshiftClusterConfigurationCheck:
                Controls: [ '4441', '4445', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-configuration-check
                  InputParameters:
                    clusterDbEncrypted: 'true'
                    loggingEnabled: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK
                  Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..."
              RedshiftClusterMaintenancesettingsCheck:
                Controls: [ '3449', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-maintenancesettings-check
                  InputParameters:
                    allowVersionUpgrade: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RedshiftClusterPublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RedshiftRequireTlsSsl:
                Controls: [ '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                   ConfigRuleName: redshift-require-tls-ssl
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL
                  Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..."
              RestrictedSsh:
                Controls: [ '2726' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: restricted-ssh
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: INCOMING_SSH_DISABLED
                  Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access"
              RootAccountHardwareMfaEnabled:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-hardware-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              RootAccountMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              S3AccountLevelPublicAccessBlocksPeriodic:
                Controls: [ '3562', '4838', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-account-level-public-access-blocks-periodic
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..."
              S3BucketPublicReadProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-read-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketPublicWriteProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-write-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketServerSideEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-server-side-encryption-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              S3BucketSslRequestsOnly:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-ssl-requests-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerEndpointConfigurationKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-endpoint-configuration-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookInstanceKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-instance-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookNoDirectInternetAccess:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-no-direct-internet-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              SecretsmanagerUsingCmk:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: secretsmanager-using-cmk
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SecretsManager::Secret
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECRETSMANAGER_USING_CMK
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SecurityhubEnabled:
                Controls: [ '3875' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: securityhub-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECURITYHUB_ENABLED
                  Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation"
              SsmDocumentNotPublic:
                Controls: [ '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ssm-document-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC
                  Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility"
              VpcDefaultSecurityGroupClosed:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-default-security-group-closed
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcFlowLogsEnabled:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-flow-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_FLOW_LOGS_ENABLED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcSgOpenOnlyToAuthorizedPorts:
                Controls: [ '3205' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-sg-open-only-to-authorized-ports
                  InputParameters:
                    authorizedTcpPorts: '443'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS
                  Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
              Wafv2LoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: wafv2-logging-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: WAFV2_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
```