Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Limiti regionali sui controlli CSPM di Security Hub
Alcuni controlli CSPM di AWS Security Hub non sono disponibili in tutti. Regioni AWS Questa pagina specifica quali controlli non sono disponibili in regioni specifiche.
Nella console CSPM di Security Hub, un controllo non viene visualizzato nell'elenco dei controlli se non è disponibile nella regione a cui hai attualmente effettuato l'accesso. L'eccezione è una regione di aggregazione. Se imposti una regione di aggregazione e accedi a quella regione, la console mostra i controlli disponibili nella regione di aggregazione o in una o più aree collegate.
Regioni AWS
Stati Uniti orientali (Virginia settentrionale)
I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Virginia settentrionale).
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
Stati Uniti orientali (Ohio)
I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Ohio).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Stati Uniti occidentali (California settentrionale)
I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (California settentrionale).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Stati Uniti occidentali (Oregon)
I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (Oregon).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Africa (Città del Capo)
I seguenti controlli non sono supportati nella regione Africa (Città del Capo).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Asia Pacifico (Hong Kong)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Hong Kong).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Hyderabad)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Hyderabad).
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Giacarta)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Giacarta).
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Malesia)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Malesia).
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Athena.4] I gruppi di lavoro Athena dovrebbero avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.2]AWS Backupi punti di ripristino devono essere etichettati
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DataSync.1] DataSync le attività dovrebbero avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati a riposo
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RDS.38] Le istanze DB RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch
-
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Melbourne)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Melbourne).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Mumbai)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Mumbai).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Asia Pacifico (Nuova Zelanda)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Nuova Zelanda).
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.3] Le fasi API REST di API Gateway dovrebbero avereAWS X-Raytracciamento abilitato
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4]AWS AppSyncLe API GraphQL devono essere etichettate
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[Athena.4] I gruppi di lavoro Athena dovrebbero avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.2]AWS Backupi punti di ripristino devono essere etichettati
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DataSync.1] DataSync le attività dovrebbero avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati a riposo
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[EKS.9] I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Application Load Balancers deve essere associato a unAWS WAFACL Web
-
[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[GuardDuty.3] Gli GuardDuty IPSets devono essere etichettati
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RDS.38] Le istanze DB RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch
-
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.1] Le istanze Amazon EC2 devono essere gestite daAWS Systems Manager
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.1]AWS Transfer Familyi flussi di lavoro devono essere etichettati
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.11]AWS WAFla registrazione ACL web deve essere abilitata
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Osaka)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Osaka).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Seul)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Seoul).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Asia Pacifico (Singapore)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Singapore).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Asia Pacifico (Sydney)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Sydney).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Asia Pacifico (Taipei)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Taipei).
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.3] Le fasi API REST di API Gateway dovrebbero avereAWS X-Raytracciamento abilitato
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4]AWS AppSyncLe API GraphQL devono essere etichettate
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[Athena.4] I gruppi di lavoro Athena dovrebbero avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.2]AWS Backupi punti di ripristino devono essere etichettati
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Backup.5]AWS Backupi piani di backup devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] gli CloudFormation stack devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[] CloudTrail.9 i trail devono essere etichettati CloudTrail
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DataSync.1] DataSync le attività dovrebbero avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.35] Le interfacce di rete EC2 devono essere etichettate
-
[EC2.36] I gateway per i clienti EC2 devono essere etichettati
-
[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati
-
[EC2.42] Le tabelle delle rotte EC2 devono essere etichettate
-
[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
-
[EC2.52] I gateway di transito EC2 devono essere etichettati
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[ECS.2] Ai servizi ECS non dovrebbero essere assegnati automaticamente indirizzi IP pubblici
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.15] Le definizioni delle attività ECS devono essere contrassegnate
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati a riposo
-
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[EKS.9] I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata
-
[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
-
[ELB.7] I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Application Load Balancers deve essere associato a unAWS WAFACL Web
-
[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
-
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata
-
[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati
-
[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[GuardDuty.3] Gli GuardDuty IPSets devono essere etichettati
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.3]AWS KMS keysnon devono essere eliminati involontariamente
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
-
[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee DB
-
[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot
-
[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RDS.38] Le istanze DB RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch
-
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.1] Le istanze Amazon EC2 devono essere gestite daAWS Systems Manager
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
[Transfer.1]AWS Transfer Familyi flussi di lavoro devono essere etichettati
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.11]AWS WAFla registrazione ACL web deve essere abilitata
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Thailandia)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Tailandia).
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[Athena.4] I gruppi di lavoro Athena dovrebbero avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.2]AWS Backupi punti di ripristino devono essere etichettati
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DataSync.1] DataSync le attività dovrebbero avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati a riposo
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[EKS.9] I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RDS.38] Le istanze DB RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch
-
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.1]AWS Transfer Familyi flussi di lavoro devono essere etichettati
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Tokyo)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Tokyo).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Canada (Centrale)
I seguenti controlli non sono supportati nella regione Canada (Centrale).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Canada occidentale (Calgary)
I seguenti controlli non sono supportati nella regione Canada occidentale (Calgary).
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Athena.4] I gruppi di lavoro Athena dovrebbero avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DataSync.1] DataSync le attività dovrebbero avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati a riposo
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RDS.38] Le istanze DB RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch
-
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Cina (Pechino)
I seguenti controlli non sono supportati nella regione Cina (Pechino).
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.20] Entrambi i tunnel VPN per unAWSSite-to-Site La connessione VPN dovrebbe essere attiva
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.36] I gateway per i clienti EC2 devono essere etichettati
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[GuardDuty.3] Gli GuardDuty IPSets devono essere etichettati
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
-
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee DB
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Cina (Ningxia)
I seguenti controlli non sono supportati nella regione Cina (Ningxia).
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.20] Entrambi i tunnel VPN per unAWSSite-to-Site La connessione VPN dovrebbe essere attiva
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.36] I gateway per i clienti EC2 devono essere etichettati
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[GuardDuty.3] Gli GuardDuty IPSets devono essere etichettati
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
-
[Lambda.2] Le funzioni Lambda devono utilizzare i runtime supportati
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Europa (Francoforte)
I seguenti controlli non sono supportati nella regione Europa (Francoforte).
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Europa (Irlanda)
I seguenti controlli non sono supportati nella regione Europa (Irlanda).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Europa (Londra)
I seguenti controlli non sono supportati nella regione Europa (Londra).
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
Europa (Milano)
I seguenti controlli non sono supportati nella regione Europa (Milano).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Parigi)
I seguenti controlli non sono supportati nella regione Europa (Parigi).
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Spagna)
I seguenti controlli non sono supportati nella regione Europa (Spagna).
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Stoccolma)
I seguenti controlli non sono supportati nella regione Europa (Stoccolma).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Zurigo)
I seguenti controlli non sono supportati nella regione Europa (Zurigo).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Israele (Tel Aviv)
I seguenti controlli non sono supportati nella regione di Israele (Tel Aviv).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.8] I file system EFS devono essere crittografati a riposo
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Messico (centrale)
I seguenti controlli non sono supportati nella regione Messico (Centrale).
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4]AWS AppSyncLe API GraphQL devono essere etichettate
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Athena.4] I gruppi di lavoro Athena dovrebbero avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.2]AWS Backupi punti di ripristino devono essere etichettati
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DataSync.1] DataSync le attività dovrebbero avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate
-
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
-
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
-
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati a riposo
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[EKS.9] I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.10] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la policy sulle password di IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoT.4]AWS IoT Coregli autorizzatori devono essere etichettati
-
[IoT.5]AWS IoT Coregli alias di ruolo devono essere etichettati
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
-
[RDS.38] Le istanze DB RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch
-
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Medio Oriente (Bahrein)
I seguenti controlli non sono supportati nella regione Medio Oriente (Bahrein).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.20] Entrambi i tunnel VPN per unAWSSite-to-Site La connessione VPN dovrebbe essere attiva
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal clienteAWS KMS keys
-
[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
-
[EKS.9] I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
-
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
-
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Medio Oriente (Emirati Arabi Uniti)
I seguenti controlli non sono supportati nella regione del Medio Oriente (Emirati Arabi Uniti).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.5] I sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
-
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
-
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EKS.9] I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la AWSCloudShellFullAccess policy allegata
-
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Lambda.7] Le funzioni Lambda dovrebbero avereAWS X-Raytracciamento attivo abilitato
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[Opensearch.9] i OpenSearch domini devono essere etichettati
-
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
-
[Opensearch.11] OpenSearch i domini devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Sud America (San Paolo)
I seguenti controlli non sono supportati nella regione Sud America (San Paolo).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1]AWS IoT Device Defenderi profili di sicurezza devono essere etichettati
-
[IoT.2]AWS IoT Corele azioni di mitigazione devono essere etichettate
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
AWS GovCloud (US-East)
I seguenti controlli non sono supportati nella AWS GovCloud (US-East) regione.
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4]AWS AppSyncLe API GraphQL devono essere etichettate
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.52] I gateway di transito EC2 devono essere etichettati
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.26] SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
AWS GovCloud (US-West)
I seguenti controlli non sono supportati nella AWS GovCloud (US-West) regione.
-
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
-
[Account.2]Account AWSdovrebbe far parte di unAWS Organizationsorganizzazione
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
-
[AppConfig.1]AWS AppConfigle applicazioni devono essere etichettate
-
[AppConfig.2]AWS AppConfigi profili di configurazione devono essere etichettati
-
[AppConfig.3]AWS AppConfiggli ambienti devono essere etichettati
-
[AppConfig.4]AWS AppConfigle associazioni di estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
-
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4]AWS AppSyncLe API GraphQL devono essere etichettate
-
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
-
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.4]AWS Backupi piani di report devono essere etichettati
-
[Batch.1] Le code di lavoro in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
-
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
-
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] CloudFront le distribuzioni devono essere etichettate
-
[CloudWatch.17] le azioni CloudWatch di allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeGuruProfiler.1] I gruppi CodeGuru di profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni CodeGuru dei repository dei revisori devono essere etichettate
-
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
-
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
-
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
-
[EC2.175] I modelli di lancio di EC2 devono essere etichettati
-
[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
-
[EC2.177] Le sessioni Traffic Mirror di EC2 devono essere etichettate
-
[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
-
[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
-
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.4] gli endpoint EventBridge globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
-
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
-
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoTEvents.1]AWSGli input di IoT Events devono essere etichettati
-
[IoTEvents.2]AWSI modelli di rilevatori IoT Events devono essere etichettati
-
[IoTEvents.3]AWSI modelli di allarme IoT Events devono essere etichettati
-
[IoTSiteWise.1]AWSI modelli di SiteWise asset IoT devono essere etichettati
-
[IoTSiteWise.2]AWSI SiteWise dashboard IoT devono essere etichettati
-
[IoTSiteWise.3]AWS SiteWise I gateway IoT devono essere etichettati
-
[IoTSiteWise.4]AWS SiteWise I portali IoT devono essere etichettati
-
[IoTSiteWise.5]AWS SiteWise I progetti IoT devono essere etichettati
-
[IoTTwinMaker.1]AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati
-
[IoTTwinMaker.2]AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati
-
[IoTTwinMaker.3]AWS TwinMaker Le scene IoT devono essere etichettate
-
[IoTTwinMaker.4]AWS TwinMaker Le entità IoT devono essere etichettate
-
[IoTWireless.1]AWSI gruppi multicast IoT Wireless devono essere etichettati
-
[IoTWireless.2]AWSI profili dei servizi IoT Wireless devono essere etichettati
-
[IoTWireless.3]AWSLe attività IoT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di tasti di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere etichettate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[MSK.5] I connettori MSK devono avere la registrazione abilitata
-
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
-
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
-
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
-
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
-
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
-
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
-
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
-
[PCA.2]AWSLe autorità di certificazione CA private devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
-
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
-
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
-
[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
-
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
-
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[] I bucket S3 per uso generico devono S3.11 avere le notifiche degli eventi abilitate
-
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
-
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
-
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
-
[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
-
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
[Transfer.4] Gli accordi Transfer Family devono essere etichettati
-
[Transfer.5] I certificati Transfer Family devono essere etichettati
-
[Transfer.6] I connettori Transfer Family devono essere etichettati
-
[Transfer.7] I profili Transfer Family devono essere etichettati
-
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
-
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
-
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
-
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
-
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
-
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
-
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
-
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch