

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# PCI DSS 4.0 の運用上のベストプラクティス (グローバルリソースタイプを除く)
<a name="operational-best-practices-for-pci-dss-v4-excluding-global-resource-types"></a>

コンフォーマンスパックは、マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、Payment Card Industry Data Security Standard (PCI DSS) 4.0 (グローバルリソースタイプを除く) と AWS マネージド Config ルール間のマッピングの例を示します。各 AWS Config ルールは特定の AWS リソースに適用され、1 つ以上の PCI DSS コントロールに関連付けられます。「PCI DSS」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。


****  

| コントロール ID  | コントロールの概要  | AWS 設定ルール  | ガイダンス  | 
| --- | --- | --- | --- | 
| 1.2.5 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [transfer-family-server-no-ftp](transfer-family-server-no-ftp.md) |  AWS Transfer Family で作成されたサーバーがエンドポイント接続に FTP を使用しないようにしてください。エンドポイント接続のサーバープロトコルが FTP 対応の場合、ルールは NON\_COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないことを確認します。エンドポイントがパブリックである場合、ルールは NON\_COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | 注意: このルールでは、ルール識別子 (INCOMING\_SSH\_DISABLED) とルール名 (restricted-ssh) が異なります。セキュリティグループの受信 SSH トラフィックがアクセス可能であることを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 または ::/0 以外の CIDR)、ルールは COMPLIANT です。それ以外の場合は、NON\_COMPLIANTです。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Bitbucket のソースリポジトリの URL に、サインイン用の認証情報が含まれていないことを確認します。URL にサインイン情報が含まれている場合、ルールは NON\_COMPLIANT です。それ以外の場合、COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | ネットワークアクセスコントロールリスト (NACL) の SSH/RDP イングレストラフィックに対するデフォルトポートが制限付きであることを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON\_COMPLIANT になります。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) |  AWS クライアント VPN 認可ルールがすべてのクライアントの接続アクセスを認可していないことを確認します。「AccessAll」が存在し、true に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 1.2.8 |  ネットワークセキュリティコントロール (NSC) が設定され、維持されます。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Amazon Redshift クラスターで「enhancedVpcRouting」が有効になっていることを確認します。「enhancedVpcRouting」が有効でない場合、または configuration.enhancedVpcRouting フィールドが「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないことを確認します。エンドポイントがパブリックである場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | 注意: このルールでは、ルール識別子 (INCOMING\_SSH\_DISABLED) とルール名 (restricted-ssh) が異なります。セキュリティグループの受信 SSH トラフィックがアクセス可能であることを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 または ::/0 以外の CIDR)、ルールは COMPLIANT です。それ以外の場合は、NON\_COMPLIANTです。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Bitbucket のソースリポジトリの URL に、サインイン用の認証情報が含まれていないことを確認します。URL にサインイン情報が含まれている場合、ルールは NON\_COMPLIANT です。それ以外の場合、COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | ネットワークアクセスコントロールリスト (NACL) の SSH/RDP イングレストラフィックに対するデフォルトポートが制限付きであることを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON\_COMPLIANT になります。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) |  AWS クライアント VPN 認可ルールがすべてのクライアントの接続アクセスを認可していないことを確認します。「AccessAll」が存在し、true に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.1 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Amazon Redshift クラスターで「enhancedVpcRouting」が有効になっていることを確認します。「enhancedVpcRouting」が有効でない場合、または configuration.enhancedVpcRouting フィールドが「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないことを確認します。エンドポイントがパブリックである場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | 注意: このルールでは、ルール識別子 (INCOMING\_SSH\_DISABLED) とルール名 (restricted-ssh) が異なります。セキュリティグループの受信 SSH トラフィックがアクセス可能であることを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 または ::/0 以外の CIDR)、ルールは COMPLIANT です。それ以外の場合は、NON\_COMPLIANTです。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Bitbucket のソースリポジトリの URL に、サインイン用の認証情報が含まれていないことを確認します。URL にサインイン情報が含まれている場合、ルールは NON\_COMPLIANT です。それ以外の場合、COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | ネットワークアクセスコントロールリスト (NACL) の SSH/RDP イングレストラフィックに対するデフォルトポートが制限付きであることを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON\_COMPLIANT になります。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) |  AWS クライアント VPN 認可ルールがすべてのクライアントの接続アクセスを認可していないことを確認します。「AccessAll」が存在し、true に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 1.3.2 |  カード所有者データ環境とのネットワークアクセスは制限されています。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| 1.4.1 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| 1.4.1 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Amazon Redshift クラスターで「enhancedVpcRouting」が有効になっていることを確認します。「enhancedVpcRouting」が有効でない場合、または configuration.enhancedVpcRouting フィールドが「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.1 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | Amazon CloudFront ディストリビューションに関連付けられている証明書が、デフォルトの SSL 証明書であることを確認します。CloudFront ディストリビューションでデフォルトの SSL 証明書が使用される場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Amazon Redshift クラスターで「enhancedVpcRouting」が有効になっていることを確認します。「enhancedVpcRouting」が有効でない場合、または configuration.enhancedVpcRouting フィールドが「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないことを確認します。エンドポイントがパブリックである場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | 注意: このルールでは、ルール識別子 (INCOMING\_SSH\_DISABLED) とルール名 (restricted-ssh) が異なります。セキュリティグループの受信 SSH トラフィックがアクセス可能であることを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 または ::/0 以外の CIDR)、ルールは COMPLIANT です。それ以外の場合は、NON\_COMPLIANTです。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Bitbucket のソースリポジトリの URL に、サインイン用の認証情報が含まれていないことを確認します。URL にサインイン情報が含まれている場合、ルールは NON\_COMPLIANT です。それ以外の場合、COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | ネットワークアクセスコントロールリスト (NACL) の SSH/RDP イングレストラフィックに対するデフォルトポートが制限付きであることを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON\_COMPLIANT になります。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) |  AWS クライアント VPN 認可ルールがすべてのクライアントの接続アクセスを認可していないことを確認します。「AccessAll」が存在し、true に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.2 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| 1.4.3 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.3 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.3 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [netfw-policy-default-action-full-packets](netfw-policy-default-action-full-packets.md) |  AWS Network Firewall ポリシーが、フルパケットに対してユーザー定義のデフォルトのステートレスアクションで設定されていることを確認します。完全なパケットのデフォルトステートレスアクションがユーザー定義のデフォルトステートレスアクションと一致しない場合、このルールは NON\_COMPLIANT です。 | 
| 1.4.4 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| 1.4.4 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Amazon Redshift クラスターで「enhancedVpcRouting」が有効になっていることを確認します。「enhancedVpcRouting」が有効でない場合、または configuration.enhancedVpcRouting フィールドが「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.4 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| 1.4.5 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [ecs-task-definition-pid-mode-check](ecs-task-definition-pid-mode-check.md) | ECSTaskDefinitions が、ホストのプロセス名前空間をその Amazon Elastic Container Service (Amazon ECS) コンテナと共有するように設定されてことを確認します。pidMode パラメータが「host」に設定されている場合、ルールは NON\_COMPLIANT になります。 | 
| 1.4.5 |  信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続は制御されます。(PCI-DSS-v4.0) | [ec2-launch-template-public-ip-disabled](ec2-launch-template-public-ip-disabled.md) | Amazon EC2 起動テンプレートが、ネットワークインターフェイスにパブリック IP アドレスを割り当てるように設定されていることを確認します。EC2 起動テンプレートのデフォルトバージョンで、「AssociatePublicIpAddress」が「true」に設定されているネットワークが 1 つまたは複数ある場合、ルールは NON\_COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないことを確認します。エンドポイントがパブリックである場合、ルールは NON\_COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | 注意: このルールでは、ルール識別子 (INCOMING\_SSH\_DISABLED) とルール名 (restricted-ssh) が異なります。セキュリティグループの受信 SSH トラフィックがアクセス可能であることを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 または ::/0 以外の CIDR)、ルールは COMPLIANT です。それ以外の場合は、NON\_COMPLIANTです。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Bitbucket のソースリポジトリの URL に、サインイン用の認証情報が含まれていないことを確認します。URL にサインイン情報が含まれている場合、ルールは NON\_COMPLIANT です。それ以外の場合、COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | ネットワークアクセスコントロールリスト (NACL) の SSH/RDP イングレストラフィックに対するデフォルトポートが制限付きであることを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON\_COMPLIANT になります。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) |  AWS クライアント VPN 認可ルールがすべてのクライアントの接続アクセスを認可していないことを確認します。「AccessAll」が存在し、true に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 1.5.1 |  信頼できないネットワークと CDE の両方に接続できるコンピューティングデバイスによる CDE へのリスクは軽減されます。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.1 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.3 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.4 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.5 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.6 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.1.7 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.2.2 |  監査ログは、異常や疑わしいアクティビティの検出、およびイベントのフォレンジック分析をサポートするために実装されます。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.1 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.3.2 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: | 
| 10.3.2 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Amazon Neptune 手動 DB クラスタースナップショットがパブリックでないことを確認します。既存および新規の Neptune スナップショットがパブリックの場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.2 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.2 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| 10.3.2 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.2 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| 10.3.2 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっていることを確認します。MFA 削除が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [aurora-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-protected-by-backup-plan.html) | Amazon Aurora DB クラスターがバックアッププランで保護されていることを確認します。Amazon Relational Database Service (Amazon RDS) データベースクラスターがバックアッププランによって保護されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [db-instance-backup-enabled](db-instance-backup-enabled.md) | RDS DB インスタンスでバックアップが有効になっていることを確認します。オプションで、バックアップ保存期間およびバックアップウィンドウを確認します。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | Amazon DynamoDB テーブルが AWS Backup Plans に存在することを確認します。Amazon DynamoDB テーブルが AWS Backup プランに存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [dynamodb-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html) | Amazon DynamoDB テーブルがバックアップ計画で保護されていることを確認します。DynamoDB テーブルがバックアップ計画の対象でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のバックアッププランに追加されていることを確認します。Amazon EBS ボリュームが Backup プランに含まれていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [バックアップ計画によって保護された EBS リソース](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html) | Amazon Elastic Block Store (Amazon EBS) ボリュームが、バックアップ計画に追加されていることを確認します。Amazon EBSボリュームがバックアップ計画の対象でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [EC2-バックアップ計画によって保護されるリソース](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-protected-by-backup-plan.html) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがバックアップ計画で保護されていることを確認します。Amazon EC2 インスタンスがバックアップ計画の対象でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [バックアップ計画によって保護された efs リソース](https://docs.aws.amazon.com/config/latest/developerguide/efs-resources-protected-by-backup-plan.html) | Amazon Elastic File System (Amazon EFS) ファイルシステムがバックアップ計画で保護されていることを確認します。EFS ファイルがバックアップ計画の対象でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [elasticache-redis-cluster-automatic-backup-check](elasticache-redis-cluster-automatic-backup-check.md) | Amazon ElastiCache Redis クラスターで自動バックアップが有効になっているかどうかを確認します。Redis クラスターの SnapshotRetentionLimit がSnapshotRetentionPeriod パラメータより小さい場合、ルールは NON\_COMPLIANT です。例えば、パラメータが 15 の場合、snapshotRetentionPeriod が 0 ～ 15 であれば、ルールは準拠していません。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [fsx-リソース-バックアップ計画によって保護される](https://docs.aws.amazon.com/config/latest/developerguide/fsx-resources-protected-by-backup-plan.html) | Amazon FSx ファイルシステムがバックアップ計画で保護されていることを確認します。Amazon FSx ファイルがバックアップ計画の対象でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [neptune-cluster-backup-retention-check](neptune-cluster-backup-retention-check.md) | Amazon Neptune DB クラスターの保持期間が特定の日数に設定されていることを確認します。保持期間がパラメータで指定された値よりも短い場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [rds-in-backup-plan](rds-in-backup-plan.md) | Amazon Relational Database Service (Amazon RDS) データベースが AWS Backup プランに存在することを確認します。Amazon RDS データベースが AWS バックアッププランに含まれていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [redshift-backup-enabled](redshift-backup-enabled.md) | Amazon Redshift 自動スナップショットがクラスターに対して有効になっていることを確認します。automatedSnapshotRetentionPeriod の値が MaxRetentionPeriod より大きいか MinRetentionPeriod より小さいか、値が 0 である場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [s3-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/s3-resources-protected-by-backup-plan.html) | Amazon Simple Storage Service (Amazon S3) バケットがバックアッププランで保護されていることを確認します。Amazon S3 バケットがバックアップ計画の対象でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [db-instance-backup-enabled](db-instance-backup-enabled.md) | RDS DB インスタンスでバックアップが有効になっていることを確認します。オプションで、バックアップ保存期間およびバックアップウィンドウを確認します。 | 
| 10.3.3 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.4 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [s3-bucket-default-lock-enabled](s3-bucket-default-lock-enabled.md) | デフォルトでは、S3 バケットのロックが有効になっていることを確認します。ロックが有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.3.4 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | S3 バケットでバージョニングが有効になっていることを確認します。オプションで、S3 バケットに対して MFA 削除が有効になっているかどうかを確認します。 | 
| 10.3.4 |  監査ログは、破壊や不正な変更から保護されています。(PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.1.1 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.2 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.4.3 |  監査ログは、異常や疑わしいアクティビティを特定するためにレビューされます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.5.1 |  監査ログ履歴は保持され、分析に使用できます。(PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: | 
| 10.5.1 |  監査ログ履歴は保持され、分析に使用できます。(PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | EBS ボリュームが EC2 インスタンスにアタッチされていることを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされることを確認します。 | 
| 10.5.1 |  監査ログ履歴は保持され、分析に使用できます。(PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されていることを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON\_COMPLIANT になります。 | 
| 10.5.1 |  監査ログ履歴は保持され、分析に使用できます。(PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.5.1 |  監査ログ履歴は保持され、分析に使用できます。(PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Amazon CloudWatch LogGroup の保持期間が 365 日を超えるか、指定された保持期間に設定されていることを確認します。保持期間が MinRetentionTime (指定されている場合)、または 365 日より短い場合は NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.6.3 |  時間同期メカニズムでは、すべてのシステムに一貫した時間設定をサポートします。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.1 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 10.7.2 |  重要なセキュリティコントロールシステムの障害は、迅速に検出、報告、対応されます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 11.5.2 |  ネットワーク侵入と予期しないファイル変更は、検出および応答されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 11.5.2 |  ネットワーク侵入と予期しないファイル変更は、検出および応答されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 11.5.2 |  ネットワーク侵入と予期しないファイル変更は、検出および応答されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 特定のメトリクス名を持つ CloudWatch アラームに指定された設定があることを確認します。 | 
| 11.5.2 |  ネットワーク侵入と予期しないファイル変更は、検出および応答されます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 11.6.1 |  支払いページの不正な変更は、検出および応答されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 11.6.1 |  支払いページの不正な変更は、検出および応答されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 11.6.1 |  支払いページの不正な変更は、検出および応答されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 特定のメトリクス名を持つ CloudWatch アラームに指定された設定があることを確認します。 | 
| 11.6.1 |  支払いページの不正な変更は、検出および応答されます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 12.10.5 |  CDE に影響を与える可能性のあるセキュリティインシデントが疑われ、確認された場合は、すぐに応答します。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 12.10.5 |  CDE に影響を与える可能性のあるセキュリティインシデントが疑われ、確認された場合は、すぐに応答します。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 12.10.5 |  CDE に影響を与える可能性のあるセキュリティインシデントが疑われ、確認された場合は、すぐに応答します。(PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 特定のメトリクス名を持つ CloudWatch アラームに指定された設定があることを確認します。 | 
| 12.10.5 |  CDE に影響を与える可能性のあるセキュリティインシデントが疑われ、確認された場合は、すぐに応答します。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 12.4.2.1 |  PCI DSS コンプライアンスは管理されています。(PCI-DSS-v4.0) | [service-catalog-shared-within-organization](service-catalog-shared-within-organization.md) | Organizations との統合が有効になっている場合、 AWS Service Catalog がポートフォリオを組織 (単一ユニットとして扱われる AWS アカウントのコレクション) AWS と共有していることを確認します。共有の「Type」値が「ACCOUNT」の場合、ルールは NON\_COMPLIANT です。 | 
| 2.2.5 |  システムコンポーネントは安全に設定および管理されます。(PCI-DSS-v4.0) | [transfer-family-server-no-ftp](transfer-family-server-no-ftp.md) |  AWS Transfer Family で作成されたサーバーがエンドポイント接続に FTP を使用しないようにしてください。エンドポイント接続のサーバープロトコルが FTP 対応の場合、ルールは NON\_COMPLIANT です。 | 
| 2.2.7 |  システムコンポーネントは安全に設定および管理されます。(PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Redis データストアの AWS Database Migration Service (AWS DMS) エンドポイントで、他のエンドポイントと通信されるデータの TLS/SSL 暗号化が有効になっていることを確認します。TLS/SSL が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 2.2.7 |  システムコンポーネントは安全に設定および管理されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 2.2.7 |  システムコンポーネントは安全に設定および管理されます。(PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) を使用して転送中に暗号化を適用していることを確認します。プレーンテキスト通信がクラスター内ブローカーノード接続に対して有効になっている場合、ルールは NON\_COMPLIANT です。 | 
| 2.2.7 |  システムコンポーネントは安全に設定および管理されます。(PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) |  AWS Database Migration Service (AWS DMS) エンドポイントが SSL 接続で設定されていることを確認します。DMS に SSL AWS 接続が設定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.2.1 |  アカウントデータの保存は最小限に抑えられます。(PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | EBS ボリュームが EC2 インスタンスにアタッチされていることを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされることを確認します。 | 
| 3.2.1 |  アカウントデータの保存は最小限に抑えられます。(PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されていることを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON\_COMPLIANT になります。 | 
| 3.2.1 |  アカウントデータの保存は最小限に抑えられます。(PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.2.1 |  アカウントデータの保存は最小限に抑えられます。(PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Amazon CloudWatch LogGroup の保持期間が 365 日を超えるか、指定された保持期間に設定されていることを確認します。保持期間が MinRetentionTime (指定されている場合)、または 365 日より短い場合は NON\_COMPLIANT です。 | 
| 3.3.1.1 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | EBS ボリュームが EC2 インスタンスにアタッチされていることを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされることを確認します。 | 
| 3.3.1.1 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されていることを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON\_COMPLIANT になります。 | 
| 3.3.1.1 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.3.1.1 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Amazon CloudWatch LogGroup の保持期間が 365 日を超えるか、指定された保持期間に設定されていることを確認します。保持期間が MinRetentionTime (指定されている場合)、または 365 日より短い場合は NON\_COMPLIANT です。 | 
| 3.3.1.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | EBS ボリュームが EC2 インスタンスにアタッチされていることを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされることを確認します。 | 
| 3.3.1.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されていることを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON\_COMPLIANT になります。 | 
| 3.3.1.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.3.1.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Amazon CloudWatch LogGroup の保持期間が 365 日を超えるか、指定された保持期間に設定されていることを確認します。保持期間が MinRetentionTime (指定されている場合)、または 365 日より短い場合は NON\_COMPLIANT です。 | 
| 3.3.2 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | EBS ボリュームが EC2 インスタンスにアタッチされていることを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされることを確認します。 | 
| 3.3.2 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されていることを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON\_COMPLIANT になります。 | 
| 3.3.2 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.3.2 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Amazon CloudWatch LogGroup の保持期間が 365 日を超えるか、指定された保持期間に設定されていることを確認します。保持期間が MinRetentionTime (指定されている場合)、または 365 日より短い場合は NON\_COMPLIANT です。 | 
| 3.3.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | EBS ボリュームが EC2 インスタンスにアタッチされていることを確認します。オプションで、インスタンスの削除時に EBS ボリュームが削除対象としてマークされることを確認します。 | 
| 3.3.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | プライベート Amazon Elastic Container Registry (ECR) リポジトリに少なくとも 1 つのライフサイクルポリシーが設定されていることを確認します。ECR プライベートリポジトリに対してライフサイクルポリシーが設定されていない場合、ルールは NON\_COMPLIANT になります。 | 
| 3.3.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | ポイントインタイムリカバリ (PITR) が Amazon DynamoDB テーブルに対して有効になっていることを確認します。PITR が DynamoDB テーブルに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.3.3 |  承認された機密認証データ (SAD) は保存されません。(PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Amazon CloudWatch LogGroup の保持期間が 365 日を超えるか、指定された保持期間に設定されていることを確認します。保持期間が MinRetentionTime (指定されている場合)、または 365 日より短い場合は NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [athena-workgroup-encrypted-at-rest](athena-workgroup-encrypted-at-rest.md) | Amazon Athena ワークグループが保管中に暗号化されていることを確認します。Athena ワークグループで保管中のデータの暗号化が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [neptune-cluster-snapshot-encrypted](neptune-cluster-snapshot-encrypted.md) | Amazon Neptune DB クラスターのスナップショットが暗号化されていることを確認します。Neptune クラスターのスナップショットが暗号化されていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [redshift-cluster-kms-enabled](redshift-cluster-kms-enabled.md) | Amazon Redshift クラスターが暗号化に指定された AWS Key Management Service (AWS KMS) キーを使用していることを確認します。暗号化が有効になっていて、クラスターが kmsKeyArn パラメータで指定されたキーで暗号化されている場合、ルールは COMPLIANT です。クラスターが暗号化されていない場合、または別のキーで暗号化されている場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [codebuild-project-s3-logs-encrypted](codebuild-project-s3-logs-encrypted.md) | Amazon S3 Logs で設定された AWS CodeBuild プロジェクトで、ログに対して暗号化が有効になっていることを確認します。CodeBuild プロジェクトの S3LogsConfig で「encryptionDisabled」が「true」に設定されている場合、ルールは NON\_COMPLIANT になります。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [eks-secrets-encrypted](eks-secrets-encrypted.md) | Amazon Elastic Kubernetes Service クラスターが Key Management Service (KMS) AWS キーを使用して Kubernetes シークレットを暗号化するように設定されていることを確認します。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [api-gw-cache-enabled-and-encrypted](api-gw-cache-enabled-and-encrypted.md) | Amazon API Gateway ステージのすべてのメソッドでキャッシュが有効になっているか、および暗号化されていることを確認します。Amazon API Gateway ステージのいずれかのメソッドでキャッシュが設定されていない場合、またはキャッシュが暗号化されていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | Amazon DynamoDB テーブルが AWS Key Management Service (KMS) で暗号化されていることを確認します。Amazon DynamoDB テーブルが KMS で暗号化されていない場合、ルールは NON\_COMPLIANT AWS です。暗号化された KMS キーが kmsKeyArns AWS 入力パラメータに存在しない場合も、ルールは NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | 環境変数 AWS\_ACCESS\_KEY\_ID および AWS\_SECRET\_ACCESS\_KEY がプロジェクトに含まていないことを確認します。プロジェクト環境変数にプレーンテキストの認証情報が含まれている場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [eks-cluster-secrets-encrypted](eks-cluster-secrets-encrypted.md) | Amazon EKS クラスターが KMS AWS を使用して Kubernetes シークレットを暗号化するように設定されていないことを確認します。EKS クラスターに encryptionConfig リソースがない場合、または encryptionConfig がシークレットにリソースとして命名していない場合、このルールは NON\_COMPLIANT です。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [kinesis-stream-encrypted](kinesis-stream-encrypted.md) | Amazon Kinesis Streams がサーバー側の暗号化を使用して保存時に暗号化されていることを確認します。「StreamEncryption」が存在しない場合、ルールは Kinesis ストリームに対して NON\_COMPLIANT になります。 | 
| 3.5.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [neptune-cluster-encrypted](neptune-cluster-encrypted.md) | Amazon Neptune DB クラスターでストレージ暗号化が有効になっていることを確認します。ストレージの暗号化が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.5.1.1 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Amazon Neptune 手動 DB クラスタースナップショットがパブリックでないことを確認します。既存および新規の Neptune スナップショットがパブリックの場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| 3.5.1.3 |  プライマリアカウント番号 (PAN) は、保存場所にかかわらず保護されます。(PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっていることを確認します。MFA 削除が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 3.6.1 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.6.1 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.6.1.2 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.6.1.2 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.6.1.3 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.6.1.3 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.6.1.4 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.6.1.4 |  保存されたアカウントデータの保護に使用される暗号化キーは保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.7.1 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [acm-certificate-rsa-check](acm-certificate-rsa-check.md) |  AWS Certificate Manager (ACM) によって管理される RSA 証明書のキー長が少なくとも '2048' ビットであることを確認します。最小キー長が 2048 ビット未満の場合、ルールは NON\_COMPLIANT です。 | 
| 3.7.1 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.7.1 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.7.2 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.7.2 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.7.4 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.7.4 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.7.6 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.7.6 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 3.7.7 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 3.7.7 |  暗号化を使用して保存されたアカウントデータを保護する場合、キーライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義および実装されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 4.2.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Redis データストアの AWS Database Migration Service (AWS DMS) エンドポイントで、他のエンドポイントと通信されるデータの TLS/SSL 暗号化が有効になっていることを確認します。TLS/SSL が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 4.2.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 4.2.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) を使用して転送中に暗号化を適用していることを確認します。プレーンテキスト通信がクラスター内ブローカーノード接続に対して有効になっている場合、ルールは NON\_COMPLIANT です。 | 
| 4.2.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) |  AWS Database Migration Service (AWS DMS) エンドポイントが SSL 接続で設定されていることを確認します。DMS に SSL AWS 接続が設定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 4.2.1.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [acm-pca-root-ca-disabled](acm-pca-root-ca-disabled.md) |  AWS Private Certificate Authority (AWS Private CA) のルート CA が無効になっていることを確認します。ルールは、ルート CA の NON\_COMPLIANT のステータスが DISABLED になっていないことです。 | 
| 4.2.1.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | Amazon CloudFront ディストリビューションに関連付けられている証明書が、デフォルトの SSL 証明書であることを確認します。CloudFront ディストリビューションでデフォルトの SSL 証明書が使用される場合、ルールは NON\_COMPLIANT です。 | 
| 4.2.1.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Redis データストアの AWS Database Migration Service (AWS DMS) エンドポイントで、他のエンドポイントと通信されるデータの TLS/SSL 暗号化が有効になっていることを確認します。TLS/SSL が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 4.2.1.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 4.2.1.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) を使用して転送中に暗号化を適用していることを確認します。プレーンテキスト通信がクラスター内ブローカーノード接続に対して有効になっている場合、ルールは NON\_COMPLIANT です。 | 
| 4.2.1.1 |  PAN は、送信中に強力な暗号化で保護されます。(PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) |  AWS Database Migration Service (AWS DMS) エンドポイントが SSL 接続で設定されていることを確認します。DMS に SSL AWS 接続が設定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| 5.3.4 |  マルウェア対策のメカニズムとプロセスは、アクティブで、保守管理およびモニタリングされています。(PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Amazon CloudWatch LogGroup の保持期間が 365 日を超えるか、指定された保持期間に設定されていることを確認します。保持期間が MinRetentionTime (指定されている場合)、または 365 日より短い場合は NON\_COMPLIANT です。 | 
| 6.3.3 |  セキュリティの脆弱性を特定し、対処します。(PCI-DSS-v4.0) | [lambda-function-settings-check](lambda-function-settings-check.md) | ランタイム、ロール、タイムアウト、メモリサイズの AWS Lambda 関数設定が想定値と一致していることを確認します。このルールは、「Image」パッケージタイプの関数と、「OS 専用ランタイム」に設定されたランタイムの関数を無視します。Lambda 関数の設定が期待値と一致しない場合、ルールは NON\_COMPLIANT です。 | 
| 6.3.3 |  セキュリティの脆弱性を特定し、対処します。(PCI-DSS-v4.0) | [eks-cluster-oldest-supported-version](eks-cluster-oldest-supported-version.md) | Amazon Elastic Kubernetes Service (EKS) クラスターが、サポートされているバージョンで最も古いものを実行していることを確認します。EKS クラスターがサポートされている最も古いバージョンを実行している場合 (パラメータ 「oldestVersionSupported」に等しい)、ルールは NON\_COMPLIANT になります。 | 
| 6.4.1 |  パブリック向けウェブアプリケーションは、攻撃から保護されています。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| 6.4.1 |  パブリック向けウェブアプリケーションは、攻撃から保護されています。(PCI-DSS-v4.0) | [wafv2-webacl-not-empty](wafv2-webacl-not-empty.md) | WAFv2 ウェブ ACL に WAF ルールまたは WAF ルールグループが含まれていることを確認します。ウェブ ACL に WAF ルールまたは WAF ルールグループが含まれていない場合、ルールは NON\_COMPLIANT です。 | 
| 6.4.1 |  パブリック向けウェブアプリケーションは、攻撃から保護されています。(PCI-DSS-v4.0) | [wafv2-rulegroup-not-empty](wafv2-rulegroup-not-empty.md) | WAFv2 ルールグループにルールが含まれていることを確認します。WAFv2 ルールグループにルールがない場合、ルールは NON\_COMPLIANT になります。 | 
| 6.4.2 |  パブリック向けウェブアプリケーションは、攻撃から保護されています。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| 6.4.2 |  パブリック向けウェブアプリケーションは、攻撃から保護されています。(PCI-DSS-v4.0) | [wafv2-webacl-not-empty](wafv2-webacl-not-empty.md) | WAFv2 ウェブ ACL に WAF ルールまたは WAF ルールグループが含まれていることを確認します。ウェブ ACL に WAF ルールまたは WAF ルールグループが含まれていない場合、ルールは NON\_COMPLIANT です。 | 
| 6.4.2 |  パブリック向けウェブアプリケーションは、攻撃から保護されています。(PCI-DSS-v4.0) | [wafv2-rulegroup-not-empty](wafv2-rulegroup-not-empty.md) | WAFv2 ルールグループにルールが含まれていることを確認します。WAFv2 ルールグループにルールがない場合、ルールは NON\_COMPLIANT になります。 | 
| 6.5.5 |  すべてのシステムコンポーネントへの変更は安全に管理されます。(PCI-DSS-v4.0) | [codedeploy-lambda-allatonce-traffic-shift-disabled](https://docs.aws.amazon.com/config/latest/developerguide/codedeploy-lambda-allatonce-traffic-shift-disabled.html) | Lambda コンピューティングプラットフォームのデプロイグループがデフォルトのデプロイ設定を使用していることを確認します。デプロイグループが「CodeDeployDefault.LambdaAllAtOnce」のデプロイ設定を使用している場合、ルールは NON\_COMPLIANT になります。 | 
| 6.5.6 |  すべてのシステムコンポーネントへの変更は安全に管理されます。(PCI-DSS-v4.0) | [codedeploy-lambda-allatonce-traffic-shift-disabled](https://docs.aws.amazon.com/config/latest/developerguide/codedeploy-lambda-allatonce-traffic-shift-disabled.html) | Lambda コンピューティングプラットフォームのデプロイグループがデフォルトのデプロイ設定を使用していることを確認します。デプロイグループが「CodeDeployDefault.LambdaAllAtOnce」のデプロイ設定を使用している場合、ルールは NON\_COMPLIANT になります。 | 
| 7.2.1 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.1 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 7.2.1 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 7.2.1 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.1 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.1 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.2 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.2 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 7.2.2 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 7.2.2 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.2 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.2 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.4 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) |  AWS Secrets Manager シークレットが指定された日数内にアクセスされていることを確認します。シークレットが「unusedForDays」の日数以内にアクセスされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 7.2.5 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.5 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 7.2.5 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 7.2.5 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.5 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.5 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.5.1 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) |  AWS Secrets Manager シークレットが指定された日数内にアクセスされていることを確認します。シークレットが「unusedForDays」の日数以内にアクセスされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 7.2.6 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 7.2.6 |  システムコンポーネントとデータへのアクセスは適切に定義され、割り当てられます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 7.3.1 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.1 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 7.3.1 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 7.3.1 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.1 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.1 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.2 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.2 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 7.3.2 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 7.3.2 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.2 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.2 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.3 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.3 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 7.3.3 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 7.3.3 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.3 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 7.3.3 |  システムコンポーネントとデータへのアクセスは、アクセスコントロールシステム (複数可) を介して管理されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.1 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.2.1 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Amazon Elastic Compute Cloud (EC2) インスタンスがアマゾンキーペアを使用して起動されていないことを確認します。実行中の EC2 インスタンスが key pair で起動されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.2 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.2.2 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Amazon Elastic Compute Cloud (EC2) インスタンスがアマゾンキーペアを使用して起動されていないことを確認します。実行中の EC2 インスタンスが key pair で起動されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.2 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | 環境変数 AWS\_ACCESS\_KEY\_ID および AWS\_SECRET\_ACCESS\_KEY がプロジェクトに含まていないことを確認します。プロジェクト環境変数にプレーンテキストの認証情報が含まれている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.2 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) |  AWS Secrets Manager シークレットがローテーションスケジュールに従って正常にローテーションされたことを確認します。Secrets Manager はローテーションが行われる日付を計算します。日付が過ぎてシークレットがローテーションされるまで、ルールは NON\_COMPLIANT です。 | 
| 8.2.2 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) |  AWS Secrets Manager シークレットが過去指定された日数だけローテーションされていることを確認します。シークレットが maxDaysSinceRotation の日数を超えてローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.2.2 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) |  AWS Secrets Manager シークレットが指定された日数内にアクセスされていることを確認します。シークレットが「unusedForDays」の日数以内にアクセスされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.2.4 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.2.4 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Amazon Elastic Compute Cloud (EC2) インスタンスがアマゾンキーペアを使用して起動されていないことを確認します。実行中の EC2 インスタンスが key pair で起動されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.5 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.2.5 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Amazon Elastic Compute Cloud (EC2) インスタンスがアマゾンキーペアを使用して起動されていないことを確認します。実行中の EC2 インスタンスが key pair で起動されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.6 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) |  AWS Secrets Manager シークレットが指定された日数内にアクセスされていることを確認します。シークレットが「unusedForDays」の日数以内にアクセスされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.2.7 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.7 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 8.2.7 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.2.7 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.7 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.7 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [ec2-imdsv2-check](ec2-imdsv2-check.md) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータのバージョンが、Instance Metadata Service Version 2 (IMDSv2) で設定されていることを確認します。HttpTokens が「optional」に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [autoscaling-launchconfig-requires-imdsv2](autoscaling-launchconfig-requires-imdsv2.md) | IMDSv2 のみが有効になっていることを確認します。メタデータのバージョンが起動設定に含まれていない場合、またはメタデータ V1 と V2 の両方が有効になっている場合、このルールは非準拠です。 | 
| 8.2.8 |  ユーザーおよび管理者のユーザー識別と関連するアカウントは、アカウントのライフサイクル全体で厳密に管理されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.10.1 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | アクティブな IAM アクセスキーが、maxAccessKeyAge で指定された日数内にローテーション (変更) されることを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.3.10.1 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) |  AWS Secrets Manager シークレットがローテーションスケジュールに従って正常にローテーションされたことを確認します。Secrets Manager はローテーションが行われる日付を計算します。日付が過ぎてシークレットがローテーションされるまで、ルールは NON\_COMPLIANT です。 | 
| 8.3.10.1 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) |  AWS Secrets Manager シークレットが過去指定された日数だけローテーションされていることを確認します。シークレットが maxDaysSinceRotation の日数を超えてローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.3.11 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.3.11 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Amazon Elastic Compute Cloud (EC2) インスタンスがアマゾンキーペアを使用して起動されていないことを確認します。実行中の EC2 インスタンスが key pair で起動されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [athena-workgroup-encrypted-at-rest](athena-workgroup-encrypted-at-rest.md) | Amazon Athena ワークグループが保管中に暗号化されていることを確認します。Athena ワークグループで保管中のデータの暗号化が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [neptune-cluster-snapshot-encrypted](neptune-cluster-snapshot-encrypted.md) | Amazon Neptune DB クラスターのスナップショットが暗号化されていることを確認します。Neptune クラスターのスナップショットが暗号化されていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [redshift-cluster-kms-enabled](redshift-cluster-kms-enabled.md) | Amazon Redshift クラスターが暗号化に指定された AWS Key Management Service (AWS KMS) キーを使用していることを確認します。暗号化が有効になっていて、クラスターが kmsKeyArn パラメータで指定されたキーで暗号化されている場合、ルールは COMPLIANT です。クラスターが暗号化されていない場合、または別のキーで暗号化されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [codebuild-project-s3-logs-encrypted](codebuild-project-s3-logs-encrypted.md) | Amazon S3 Logs で設定された AWS CodeBuild プロジェクトで、ログに対して暗号化が有効になっていることを確認します。CodeBuild プロジェクトの S3LogsConfig で「encryptionDisabled」が「true」に設定されている場合、ルールは NON\_COMPLIANT になります。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Redis データストアの AWS Database Migration Service (AWS DMS) エンドポイントで、他のエンドポイントと通信されるデータの TLS/SSL 暗号化が有効になっていることを確認します。TLS/SSL が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [eks-secrets-encrypted](eks-secrets-encrypted.md) | Amazon Elastic Kubernetes Service クラスターが Key Management Service (KMS) AWS キーを使用して Kubernetes シークレットを暗号化するように設定されていることを確認します。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [api-gw-cache-enabled-and-encrypted](api-gw-cache-enabled-and-encrypted.md) | Amazon API Gateway ステージのすべてのメソッドでキャッシュが有効になっているか、および暗号化されていることを確認します。Amazon API Gateway ステージのいずれかのメソッドでキャッシュが設定されていない場合、またはキャッシュが暗号化されていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | Amazon DynamoDB テーブルが AWS Key Management Service (KMS) で暗号化されていることを確認します。Amazon DynamoDB テーブルが KMS で暗号化されていない場合、ルールは NON\_COMPLIANT AWS です。暗号化された KMS キーが kmsKeyArns AWS 入力パラメータに存在しない場合も、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | 環境変数 AWS\_ACCESS\_KEY\_ID および AWS\_SECRET\_ACCESS\_KEY がプロジェクトに含まていないことを確認します。プロジェクト環境変数にプレーンテキストの認証情報が含まれている場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [eks-cluster-secrets-encrypted](eks-cluster-secrets-encrypted.md) | Amazon EKS クラスターが KMS AWS を使用して Kubernetes シークレットを暗号化するように設定されていないことを確認します。EKS クラスターに encryptionConfig リソースがない場合、または encryptionConfig がシークレットにリソースとして命名していない場合、このルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [kinesis-stream-encrypted](kinesis-stream-encrypted.md) | Amazon Kinesis Streams がサーバー側の暗号化を使用して保存時に暗号化されていることを確認します。「StreamEncryption」が存在しない場合、ルールは Kinesis ストリームに対して NON\_COMPLIANT になります。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Amazon MSK クラスターが、クラスターのブローカーノードで HTTPS (TLS) を使用して転送中に暗号化を適用していることを確認します。プレーンテキスト通信がクラスター内ブローカーノード接続に対して有効になっている場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [neptune-cluster-encrypted](neptune-cluster-encrypted.md) | Amazon Neptune DB クラスターでストレージ暗号化が有効になっていることを確認します。ストレージの暗号化が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.2 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) |  AWS Database Migration Service (AWS DMS) エンドポイントが SSL 接続で設定されていることを確認します。DMS に SSL AWS 接続が設定されていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.4 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Amazon Simple Storage Service (Amazon S3) バケットポリシーで、他の AWS アカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションが許可されていないことを確認します。例えば、ルールは、Amazon S3 バケットポリシーが、バケット内のオブジェクトに対して s3:GetBucket\* アクションと s3:DeleteObject の実行を別の AWS アカウントに許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.4 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Amazon Simple Storage Service (S3) バケットポリシーが、指定するコントロール Amazon S3 バケットポリシー以外でアカウント間の他のアクセスを許可していないことを確認します。 | 
| 8.3.4 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | IAM ポリシー ARN が、IAM ユーザー、1 人以上の IAM ユーザーを持つ IAM グループ、または 1 つ以上の信頼されたエンティティを持つ IAM ロールにアタッチされていることを確認します。 | 
| 8.3.4 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Amazon Neptune クラスターで AWS Identity and Access Management (IAM) データベース認証が有効になっていることを確認します。Amazon Neptune クラスターで IAM データベース認証が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.4 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | EC2 インスタンスに AWS Identity and Access Management (IAM) プロファイルがアタッチされていることを確認します。IAM プロファイルが EC2 インスタンスにアタッチされていない場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.4 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| 8.3.5 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | アクティブな IAM アクセスキーが、maxAccessKeyAge で指定された日数内にローテーション (変更) されることを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.3.5 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) |  AWS Secrets Manager シークレットがローテーションスケジュールに従って正常にローテーションされたことを確認します。Secrets Manager はローテーションが行われる日付を計算します。日付が過ぎてシークレットがローテーションされるまで、ルールは NON\_COMPLIANT です。 | 
| 8.3.5 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) |  AWS Secrets Manager のシークレットが過去指定された日数だけローテーションされていることを確認します。シークレットが maxDaysSinceRotation の日数を超えてローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.3.7 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | アクティブな IAM アクセスキーが、maxAccessKeyAge で指定された日数内にローテーション (変更) されることを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.3.7 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) |  AWS Secrets Manager シークレットがローテーションスケジュールに従って正常にローテーションされたことを確認します。Secrets Manager はローテーションが行われる日付を計算します。日付が過ぎてシークレットがローテーションされるまで、ルールは NON\_COMPLIANT です。 | 
| 8.3.7 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) |  AWS Secrets Manager のシークレットが過去指定された日数だけローテーションされていることを確認します。シークレットが maxDaysSinceRotation の日数を超えてローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.3.9 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | アクティブな IAM アクセスキーが、maxAccessKeyAge で指定された日数内にローテーション (変更) されることを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.3.9 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) |  AWS Secrets Manager シークレットがローテーションスケジュールに従って正常にローテーションされたことを確認します。Secrets Manager はローテーションが行われる日付を計算します。日付が過ぎてシークレットがローテーションされるまで、ルールは NON\_COMPLIANT です。 | 
| 8.3.9 |  ユーザーと管理者の強力な認証が確立されたうえで、管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) |  AWS Secrets Manager のシークレットが過去指定された日数だけローテーションされていることを確認します。シークレットが maxDaysSinceRotation の日数を超えてローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.4.1 |  CDE へのアクセスを保護するために、多要素認証 (MFA) が実装されています。(PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっていることを確認します。MFA 削除が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 8.4.2 |  CDE へのアクセスを保護するために、多要素認証 (MFA) が実装されています。(PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっていることを確認します。MFA 削除が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 8.4.3 |  CDE へのアクセスを保護するために、多要素認証 (MFA) が実装されています。(PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっていることを確認します。MFA 削除が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| 8.6.3 |  アプリケーションアカウントとシステムアカウント、および関連する認証要素の使用は厳しく管理されます。(PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | アクティブな IAM アクセスキーが、maxAccessKeyAge で指定された日数内にローテーション (変更) されることを確認します。アクセスキーが指定した期間内にローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| 8.6.3 |  アプリケーションアカウントとシステムアカウント、および関連する認証要素の使用は厳しく管理されます。(PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) |  AWS Secrets Manager シークレットがローテーションスケジュールに従って正常にローテーションされたことを確認します。Secrets Manager はローテーションが行われる日付を計算します。日付が過ぎてシークレットがローテーションされるまで、ルールは NON\_COMPLIANT です。 | 
| 8.6.3 |  アプリケーションアカウントとシステムアカウント、および関連する認証要素の使用は厳しく管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) |  AWS Secrets Manager のシークレットが過去指定された日数だけローテーションされていることを確認します。シークレットが maxDaysSinceRotation の日数を超えてローテーションされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| A1.1.2 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Amazon Neptune 手動 DB クラスタースナップショットがパブリックでないことを確認します。既存および新規の Neptune スナップショットがパブリックの場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.2 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.2 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| A1.1.2 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.2 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| A1.1.2 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっていることを確認します。MFA 削除が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [api-gw-endpoint-type-check](api-gw-endpoint-type-check.md) | Amazon API Gateway API が、ルールパラメータ「endpointConfigurationType」で指定されたタイプであることを確認します。REST API がルールパラメータで設定されたエンドポイントタイプと一致しない場合、ルールは NON\_COMPLIANT を返します。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) |  AWS Network Firewall ポリシーが、フラグメント化されたパケットに対してユーザー定義のステートレスデフォルトアクションで設定されていることを確認します。フラグメント化されたパケットのステートレスデフォルトアクションがユーザー定義のデフォルトアクションと一致しない場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Amazon Elastic Kubernetes Service (Amazon EKS) エンドポイントがパブリックアクセス可能になっていないことを確認します。エンドポイントがパブリックである場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | 注意: このルールでは、ルール識別子 (INCOMING\_SSH\_DISABLED) とルール名 (restricted-ssh) が異なります。セキュリティグループの受信 SSH トラフィックがアクセス可能であることを確認します。セキュリティグループの受信 SSH トラフィックの IP アドレスが制限されている場合 (0.0.0.0/0 または ::/0 以外の CIDR)、ルールは COMPLIANT です。それ以外の場合は、NON\_COMPLIANTです。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) |  AWS AppSync APIs が AWS WAFv2 ウェブアクセスコントロールリスト (ACLs) に関連付けられていることを確認します。ウェブ ACL に関連付けられていない場合、 AWS AppSync API のルールは NON\_COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Bitbucket のソースリポジトリの URL に、サインイン用の認証情報が含まれていないことを確認します。URL にサインイン情報が含まれている場合、ルールは NON\_COMPLIANT です。それ以外の場合、COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Classic Load Balancer が AWS Certificate Manager が提供する SSL 証明書を使用していることを確認します。このルールを使用するには、Classic Load Balancer と共に SSL または HTTPS リスナーを使用する必要があります。注意 - このルールは、Classic Load Balancer にのみ適用されます。このルールは Application Load Balancer および Network Load Balancer を確認しません。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | ネットワークアクセスコントロールリスト (NACL) の SSH/RDP イングレストラフィックに対するデフォルトポートが制限付きであることを確認します。NACL インバウンドエントリがポート 22 または 3389 についてソース TCP または UDP CIDR ブロックを許可する場合、ルールは NON\_COMPLIANT になります。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) |  AWS クライアント VPN 認可ルールがすべてのクライアントの接続アクセスを認可していないことを確認します。「AccessAll」が存在し、true に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | インターネットゲートウェイが、承認された仮想プライベートクラウド (Amazon VPC) にアタッチされていることを確認します。インターネットゲートウェイが承認された VPC にアタッチされている場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A1.1.3 |  マルチテナントサービスプロバイダーは、すべての顧客環境とデータを保護および分離します。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Amazon API Gateway V2 ステージで、アクセスログが有効であることを確認します。ステージ設定に「accessLogSettings」が存在しない場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | セキュリティのベストプラクティスで定義されている AWS CloudTrail 証跡が少なくとも 1 つあることを確認します。次のすべてを満たす証跡が少なくとも 1 つある場合、このルールは COMPLIANT です: | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Amazon Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていることを確認します。Neptune クラスターで、監査ログ用に CloudWatch ログのエクスポートが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | アクティブな ECS タスクの定義に、logConfiguration が設定されていることを確認します。アクティブな ECSTaskDefinition に logConfiguration リソースが定義されていない場合、または少なくとも 1 つのコンテナ定義で logConfiguration の値が NULL の場合、このルールは NON\_COMPLIANT になります。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (CLOUD\_TRAIL\_ENABLED) とルール名 (cloudtrail-enabled) が異なります。 AWS アカウントで AWS CloudTrail 証跡が有効になっていることを確認します。証跡が有効でない場合、ルールは NON\_COMPLIANT です。オプションで、ルールは特定の S3 バケット、Amazon Simple Notification Service (Amazon SNS) トピック、CloudWatch ロググループを確認します。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | 注意: このルールでは、ルール識別子 (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) とルール名 (multi-region-cloudtrail-enabled) が異なります。マルチリージョン AWS CloudTrail が少なくとも 1 つあることを確認します。追跡が入力パラメータと一致しない場合、ルールは NON\_COMPLIANT です。ExcludeManagementEventSources フィールドが空でない場合、または KMS イベントや Amazon RDS Data API イベントなどの管理イベントを除外するように AWS CloudTrail AWS が設定されている場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) |  AWS AppSync API でログ記録が有効になっていることを確認します。ログ記録が有効されていない場合、または 'FieldLogLevel' が ERROR でも ALL でもない場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Amazon MQ ブローカーで Amazon CloudWatch 監査ログが有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Amazon MQ ブローカーで CloudWatch 監査ログ記録が有効になっていることを確認します。ブローカーで監査ログが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、ログが有効な状態で設定されていることを確認します。Amazon EKS クラスターのログが、すべてのログタイプに対して有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) |  AWS Elastic Beanstalk 環境が Amazon CloudWatch Logs にログを送信するように設定されていることを確認します。「StreamLogs」の値が「false」の場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) |  AWS Step Functions マシンでログ記録が有効になっていることを確認します。ステートマシンのログ記録が有効にされていない場合、またはログ記録設定が指定された最小レベルを満たしていない場合、ルールは NON\_COMPLIANT です。 | 
| A1.2.1 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) |  AWS Network Firewall ファイアウォールでログ記録が有効になっていることを確認します。ログタイプが設定されていない場合、ルールは NON\_COMPLIANT です。ルールがチェックするログタイプを指定できます。 | 
| A1.2.3 |  マルチテナントサービスプロバイダーは、すべての顧客のログ記録とインシデント対応を容易にします。(PCI-DSS-v4.0) | [security-account-information-provided](security-account-information-provided.md) |  AWS アカウントの連絡先にセキュリティ連絡先情報が提供されていることを確認します。アカウント内のセキュリティの連絡先情報が指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.2.5.1 |  PCI DSS スコープは文書化され、検証されます。(PCI-DSS-v4.0) | [macie-auto-sensitive-data-discovery-check](macie-auto-sensitive-data-discovery-check.md) | Amazon Macie で機密データの自動検出が有効になっていることを確認します。機密データの自動検出が無効になっている場合、ルールは NON\_COMPLIANT です。このルールは管理者アカウントに適用され、メンバーアカウントには NOT\_APPLICABLE です。 | 
| A3.2.5.1 |  PCI DSS スコープは文書化され、検証されます。(PCI-DSS-v4.0) | [macie-status-check](macie-status-check.md) | Amazon Macie がリージョンごとにアカウントで有効になっていることを確認します。「status」属性が「ENABLED」に設定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.2.5.2 |  PCI DSS スコープは文書化され、検証されます。(PCI-DSS-v4.0) | [macie-auto-sensitive-data-discovery-check](macie-auto-sensitive-data-discovery-check.md) | Amazon Macie で機密データの自動検出が有効になっていることを確認します。機密データの自動検出が無効になっている場合、ルールは NON\_COMPLIANT です。このルールは管理者アカウントに適用され、メンバーアカウントには NOT\_APPLICABLE です。 | 
| A3.2.5.2 |  PCI DSS スコープは文書化され、検証されます。(PCI-DSS-v4.0) | [macie-status-check](macie-status-check.md) | Amazon Macie がリージョンごとにアカウントで有効になっていることを確認します。「status」属性が「ENABLED」に設定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 特定のメトリクス名を持つ CloudWatch アラームに指定された設定があることを確認します。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| A3.3.1 |  PCI DSS は、通常業務 (BAU) アクティビティに組み込まれています。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| A3.4.1 |  カード所有者データ環境への論理アクセスは、制御および管理されます。(PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Amazon Neptune 手動 DB クラスタースナップショットがパブリックでないことを確認します。既存および新規の Neptune スナップショットがパブリックの場合、ルールは NON\_COMPLIANT です。 | 
| A3.4.1 |  カード所有者データ環境への論理アクセスは、制御および管理されます。(PCI-DSS-v4.0) | [バックアップ/リカバリ・ポイントの手動削除/無効化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | バックアップボールトに、リカバリポイントの削除を防ぐリソースベースのポリシーが添付されていることを確認します。バックアップボールトにリソースベースのポリシーがない場合、または適切な「拒否」ステートメント (backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle、backup:PutBackupVaultAccessPolicy アクセス許可を持つステートメント) がないポリシーがある場合、ルールは NON\_COMPLIANT です。 | 
| A3.4.1 |  カード所有者データ環境への論理アクセスは、制御および管理されます。(PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Amazon EMR のアカウントでパブリックアクセスのブロック設定が有効になっていることを確認します。BlockPublicSecurityGroupRules が False の場合、このルールは NON\_COMPLIANT に、True の場合、ポート 22 以外のポートは PermittedPublicSecurityGroupRuleRanges に一覧表示されます。 | 
| A3.4.1 |  カード所有者データ環境への論理アクセスは、制御および管理されます。(PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) |  AWS Secrets Manager シークレットが指定された日数内にアクセスされていることを確認します。シークレットが「unusedForDays」の日数以内にアクセスされていない場合、ルールは NON\_COMPLIANT です。デフォルト値は 90 日です。 | 
| A3.4.1 |  カード所有者データ環境への論理アクセスは、制御および管理されます。(PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Amazon S3 Access Points で、パブリックアクセスブロック設定が有効になっていることを確認します。S3 アクセスポイントに対してパブリックアクセスブロック設定が有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.4.1 |  カード所有者データ環境への論理アクセスは、制御および管理されます。(PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | 必要なパブリックアクセスブロック設定がアカウントレベルから設定されていることを確認します。以下に設定されているフィールドが、設定項目の対応するフィールドと一致しない場合、ルールは NON\_COMPLIANT のみです。 | 
| A3.4.1 |  カード所有者データ環境への論理アクセスは、制御および管理されます。(PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Amazon Simple Storage Service (Amazon S3) バケットバージョニング設定で MFA 削除が有効になっていることを確認します。MFA 削除が有効でない場合、ルールは NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Amazon API Gateway REST API で AWS X-Ray トレースが有効になっていることを確認します。 APIs X-Ray トレースが有効になっている場合、このルールは COMPLIANT です。そうでない場合は、NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | 詳細モニタリングが EC2 インスタンスに対して有効になっていることを確認します。詳細モニタリングが有効になっていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | CloudWatch のアラームに ALARM、INSUFFICIENT\_DATA、または OK の状態に設定されたアクションがあることを確認します。オプションで、指定した ARN に一致するアクションがあることを確認します。アラームまたはオプションパラメータにアクションが指定されていない場合、ルールは NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | リソースタイプに、名前付きメトリクスの CloudWatch アラームがあることを確認します。リソースタイプとして、EBS ボリューム、EC2 インスタンス、Amazon RDS クラスター、または S3 バケットを指定できます。名前付きメトリクスにリソース ID と CloudWatch アラームがある場合、ルールは COMPLIANT になります。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | 特定のメトリクス名を持つ CloudWatch アラームに指定された設定があることを確認します。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) |  AWS WAFv2 ルールグループの Amazon CloudWatch セキュリティメトリクス収集が有効になっていることを確認します。[visibilityConfig.CloudWatchMetricsEnenabled] フィールドが false に設定されている場合、ルールは NON\_COMPLIANT です。 | 
| A3.5.1 |  疑わしいイベントが特定され、対応されます。(PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | エンドポイントのトピックに送信される通知メッセージの配信ステータスについて、Amazon Simple Notification Service (SNS) ログが有効になっていることを確認します。メッセージの配信ステータス通知が有効でない場合、ルールは NON\_COMPLIANT です。 | 

## テンプレート
<a name="operational-best-practices-for-pci-dss-v4-excluding-global-resource-types-conformance-pack-sample"></a>

テンプレートは、GitHub の「[Operational Best Practices for PCI DSS 4.0 (グローバルリソースタイプを除く)](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml)」で入手できます。