Melhores práticas operacionais para o NZISM 3.9 (Fundação)

Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.

Veja a seguir um exemplo de mapeamento entre o Manual de Segurança da Informação (NZISM) 2025-11, versão 3.9, do Departamento de Segurança das Comunicações do Governo da Nova Zelândia (GCSB), e as regras do Managed Config. AWS Cada regra do Config se aplica a um tipo de AWS recurso específico e está relacionada a um ou mais controles NZISM. Um controle do NZISM pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos. Somente controles que representam a prática recomendada ou básica para informações classificadas como RESTRITAS e abaixo são incluídos nos mapeamentos.

Este exemplo de modelo de pacote de conformidade contém mapeamentos para controles dentro da estrutura NZISM, que é parte integrante da estrutura de Requisitos de Segurança de Proteção (PSR) que define as expectativas do governo da Nova Zelândia em relação ao gerenciamento de pessoal, informações e segurança física.

A parte básica desse pacote de conformidade pode ser implantada em Sydney e nas regiões globais. A parte NZ Transition contém o subconjunto das regras do Foundation Config que estão atualmente disponíveis na região da Nova Zelândia. Atualmente, a parte da Fundação não será implantada na região da Nova Zelândia. A parte de extensão desse pacote de conformidade pode ser implantada nas regiões de Sydney e Nova Zelândia para ampliar as regras de Config fornecidas nas partes Foundation e NZ Transition.

O NZISM está licenciado sob a licença Creative Commons Attribution 4.0 Nova Zelândia, disponível em. https://creativecommons.org/licenses/by/4.0/ Informações sobre direitos autorais podem ser encontradas no Manual de Segurança da Informação NZISM da Nova Zelândia | Legal, Privacidade e Direitos Autorais.

ID de controle	Descrição do controle	Regra do AWS Config	Orientação
1149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8. C.01.)	ec2-instance-managed-by-systems-manager	É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão, além de outros detalhes sobre seu ambiente.
1149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8. C.01.)	ec2-managedinstance-association-compliance-status-check	Use o AWS Systems Manager Associations para ajudar com o inventário de plataformas de software e aplicativos dentro de uma organização. O AWS Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patches do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
1149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8. C.01.)	ecs-containers-nonprivileged	Este controle verifica se o parâmetro privileged na definição do contêiner de definições de tarefa do Amazon ECS está definido como true. O controle falhará se esse parâmetro for igual a true. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS. Recomendamos que você remova privilégios elevados de suas definições de tarefas do ECS. Quando esse parâmetro de privilégio é true, o contêiner recebe privilégios elevados na instância de contêiner do host (de modo semelhante ao usuário raiz).
1149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8. C.01.)	ecs-containers-readonly-access	Esse controle verifica se os contêineres do Amazon ECS estão limitados ao acesso somente de leitura aos sistemas de arquivos raiz montados. Esse controle falhará se o ReadonlyRootFilesystem parâmetro na definição do contêiner das definições de tarefas do Amazon ECS estiver definido como falso. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS. Ativar essa opção reduz os vetores de ataque à segurança, pois o sistema de arquivos da instância de contêiner não pode ser adulterado ou gravado, a menos que tenha permissões explícitas de leitura e gravação na pasta e nos diretórios do sistema de arquivos. Esse controle também segue o princípio do privilégio mínimo.
1154	Incidentes de segurança da informação, detecção de incidentes de segurança da informação, prevenção e detecção de incidentes de segurança da informação (7.1.7. C.02.)	guardduty-runtime-monitoring-enabled	Esse controle verifica se o Runtime Monitoring está habilitado para a Amazon GuardDuty em sua conta ou organização. O Runtime Monitoring observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudá-lo a detectar possíveis ameaças em cargas de trabalho específicas da AWS em seu ambiente.
161	Segurança de software, desenvolvimento de aplicativos web, conteúdo do site da agência (14.5.6. C.01.)	cloudfront-default-root-object-configured	Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para retornar um objeto específico, que é o objeto raiz padrão. O controle falhará se a CloudFront distribuição não tiver um objeto raiz padrão configurado. Às vezes, um usuário pode solicitar a URL raiz da distribuição em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo de sua distribuição da web. Essa regra deve ser aplicada na região leste dos EUA-1. Implante com o parâmetro do modelo DeployEdgeRules = true.
167	Segurança de software, Desenvolvimento de aplicativos Web, Aplicativos Web (14.5.8. C.01.)	acm-certificate-expiration-check	Garanta que a integridade da rede seja protegida garantindo que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para diasToExpiration. O valor é noventa dias.
167	Segurança de software, Desenvolvimento de aplicativos Web, Aplicativos Web (14.5.8. C.01.)	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
1841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35. C.02.)	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso aos recursos na nuvem da AWS. Esta regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para usuários do IAM.
1841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35. C.02.)	mfa-enabled-for-iam-console-access	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifator (MFA) esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários do IAM utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
1841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35. C.02.)	root-account-hardware-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifatorial de hardware (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
1841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35. C.02.)	root-account-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifator (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
1847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.)	alb-http-to-https-verificação de redirecionamento	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
1847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.)	cloudfront-viewer-policy-https	Esse controle verifica se uma CloudFront distribuição da Amazon exige que os espectadores usem HTTPS diretamente ou se ela usa redirecionamento. O controle falhará se ViewerProtocolPolicy estiver definido como allow-all por padrão CacheBehavior ou para CacheBehaviors. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Essa regra deve ser aplicada na região leste dos EUA-1. Implante com o parâmetro do modelo DeployEdgeRules = true.
1847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.)	elasticsearch-node-to-node-encryption-check	Esse controle verifica se os domínios do Elasticsearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
1847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.)	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
1847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.)	opensearch-node-to-node-encryption-check	Esse controle verifica se os OpenSearch domínios têm a criptografia de nó a nó ativada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A ativação da criptografia de nó a nó para OpenSearch domínios garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
1893	Controle de acesso e senhas, identificação, autenticação e senhas, suspensão do acesso (16.1.46. C.02.)	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso, verificando senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar a and/or remoção das credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra define no máximo CredentialUsageAge 30 dias.
1946	Controle de acesso e senhas, acesso privilegiado de usuários, uso de contas privilegiadas (16.3.5. C.02.)	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “” sobre “Recurso”: “”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
1946	Controle de acesso e senhas, acesso privilegiado de usuários, uso de contas privilegiadas (16.3.5. C.02.)	iam-root-access-key-check	O acesso aos sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use contas da AWS baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade.
1998	Controle de acesso e senhas, registro e auditoria de eventos, manutenção de registros de gerenciamento do sistema (16.6.6. C.02.)	cloud-trail-cloud-watch-logs-enabled	Você deve configurar CloudTrail com o CloudWatch Logs para monitorar seus registros de trilhas e ser notificado quando ocorrer uma atividade específica. Essa regra verifica se as CloudTrail trilhas da AWS estão configuradas para enviar registros para os CloudWatch registros da Amazon.
1998	Controle de acesso e senhas, registro e auditoria de eventos, manutenção de registros de gerenciamento do sistema (16.6.6. C.02.)	cloudtrail-enabled	A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents.
1998	Controle de acesso e senhas, registro e auditoria de eventos, manutenção de registros de gerenciamento do sistema (16.6.6. C.02.)	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados. A retenção mínima é de 18 meses.
2013	Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.)	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
2013	Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.)	cloudfront-accesslogs-enabled	Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro de acesso não estiver habilitado para uma distribuição. CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Essa regra deve ser aplicada na região leste dos EUA-1. Implemente com o parâmetro do modelo DeployEdgeRules = true
2013	Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.)	cloudtrail-enabled	A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents.
2013	Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.)	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
2013	Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.)	rds-logging-enabled	Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (RDS) esteja ativado. Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
2013	Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.)	wafv2-logging-enabled	Para ajudar com o registro e o monitoramento em seu ambiente, habilite o login do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
2022	Controle de acesso e senhas, registro e auditoria de eventos, proteção de registros de eventos (16.6.12. C.01.)	cloud-trail-log-file-validation-enabled	Utilize a validação do arquivo de CloudTrail log da AWS para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso foi criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinatura digital. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção.
2022	Controle de acesso e senhas, registro e auditoria de eventos, proteção de registros de eventos (16.6.12. C.01.)	cloudwatch-log-group-encrypted	Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon.
2028	Controle de acesso e senhas, registro e auditoria de eventos, arquivos de registro de eventos (16.6.13. C.01.)	cw-loggroup-retention-period-check	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados. A retenção mínima é de 18 meses.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	cloud-trail-encryption-enabled	Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas CloudTrail trilhas na AWS.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	ec2-ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	elasticsearch-encrypted-at-rest	Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	encrypted-volumes	Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (EBS).
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	opensearch-encrypted-at-rest	Esse controle verifica se os OpenSearch domínios têm a configuração de criptografia em repouso ativada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para uma camada adicional de segurança para dados confidenciais, você deve configurar seu domínio de OpenSearch serviço para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	rds-snapshot-encrypted	Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (RDS) do Amazon Relational Database Service (RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	rds-storage-encrypted	Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.)	s3-bucket-server-side-encryption-enabled	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
2090	Criptografia, Fundamentos Criptográficos, Proteção de Informações e Sistemas (17.1.55. C.02.)	alb-http-to-https-verificação de redirecionamento	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
2090	Criptografia, Fundamentos Criptográficos, Proteção de Informações e Sistemas (17.1.55. C.02.)	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
2090	Criptografia, Fundamentos Criptográficos, Proteção de Informações e Sistemas (17.1.55. C.02.)	redshift-require-tls-ssl	Certifique-se de que seus clusters do Amazon Redshift exijam TLS/SSL criptografia para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
2598	Criptografia, segurança da camada de transporte, usando TLS (17.4.16. C.01.)	elb-custom-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, certifique-se de que seus ouvintes ElasticLoadBalancer SSL clássicos estejam usando uma política de segurança personalizada. Essas políticas podem fornecer vários algoritmos criptográficos de alta resistência para ajudar a garantir comunicações de rede criptografadas entre sistemas. Essa regra exige que você defina uma política de segurança personalizada para seus receptores de SSL. A política de segurança é: Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256.
2600	Criptografia, segurança da camada de transporte, usando TLS (17.4.16. C.02.)	elb-custom-security-policy-ssl-check	Para ajudar a proteger os dados em trânsito, certifique-se de que seus ouvintes ElasticLoadBalancer SSL clássicos estejam usando uma política de segurança personalizada. Essas políticas podem fornecer vários algoritmos criptográficos de alta resistência para ajudar a garantir comunicações de rede criptografadas entre sistemas. Essa regra exige que você defina uma política de segurança personalizada para seus receptores de SSL. A política de segurança padrão é: Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256.
2726	Criptografia, Secure Shell, acesso remoto automatizado (17.5.8. C.02.)	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo uma filtragem monitorada do tráfego de entrada e saída da rede para os recursos da AWS. Não é permitido o tráfego de entrada (ou remoto) a partir da 0.0.0. 0/0 a porta 22 em seus recursos ajuda você a restringir o acesso remoto.
3021	Criptografia, gerenciamento de chaves, conteúdo de KMPs (17.9.25. C.01.)	cmk-backing-key-rotation-enabled	O Amazon Key Management Service (KMS) permite que os clientes alternem a chave de apoio, que é o material chave armazenado no AWS KMS e está vinculado ao ID da chave gerenciada pelo cliente (CMK). É a chave de backup usada para executar operações de criptografia, por exemplo, criptografia e descriptografia. No momento, a rotação de chaves automatizada retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados seja transparente. A rotação de chaves de criptografia ajuda a reduzir o impacto em potencial de uma chave comprometida porque os dados criptografados com uma nova chave não podem ser acessados com uma chave anterior que pode ter sido exposta.
3205	Segurança de rede, gerenciamento de rede, limitação do acesso à rede (18.1.13. C.02.)	vpc-sg-open-only-to-authorized-ports	Gerencie o acesso aos recursos na Nuvem AWS garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0). 0/0) o acesso remoto pode ser controlado aos sistemas internos. A lista de portas de internet autorizadas é: somente 443.
3449	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.02.)	ec2-managedinstance-patch-compliance-status-check	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a conformidade de patches de instâncias do Amazon EC2 no AWS Systems Manager conforme exigido pelas políticas e procedimentos da sua organização.
3449	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.02.)	ecr-private-image-scanning-enabled	Esse controle verifica se um repositório privado do Amazon Elastic Container Registry (ECR) tem a digitalização de imagens configurada. Este controle verifica se um repositório privado do ECR não tem a verificação de imagens configurada. Observe que você também deve configurar a verificação por push para cada repositório para passar nesse controle. A verificação de imagens do ECR ajuda a identificar vulnerabilidades de software nas imagens de seu contêiner. O ECR usa o banco de dados de vulnerabilidades e exposições comuns (CVEs) do projeto Clair de código aberto e fornece uma lista das descobertas da verificação. Habilitar a verificação de imagens em repositórios do ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas.
3449	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.02.)	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Esse conjunto de regras VersionUpgrade permite ser verdadeiro.
3451	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.04.)	ec2-managedinstance-patch-compliance-status-check	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a conformidade de patches de instâncias do Amazon EC2 no AWS Systems Manager conforme exigido pelas políticas e procedimentos da sua organização.
3452	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.05.)	ec2-managedinstance-patch-compliance-status-check	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a conformidade de patches de instâncias do Amazon EC2 no AWS Systems Manager conforme exigido pelas políticas e procedimentos da sua organização.
3452	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.05.)	elastic-beanstalk-managed-updates-enabled	Esse controle verifica se as atualizações de plataforma gerenciadas estão habilitadas no ambiente do Elastic Beanstalk. A ativação das atualizações gerenciadas da plataforma garante que as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
3452	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.05.)	rds-automatic-minor-version-upgrade-enabled	Esse controle verifica se atualizações automáticas de versões secundárias estão habilitadas para a instância de banco de dados Amazon Relational Database Service (RDS). A ativação de atualizações automáticas de versões secundárias garante que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) sejam instaladas. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
3453	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.06.)	ec2-managedinstance-patch-compliance-status-check	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a conformidade de patches de instâncias do Amazon EC2 no AWS Systems Manager conforme exigido pelas políticas e procedimentos da sua organização.
3453	Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.06.)	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Esse conjunto de regras VersionUpgrade permite ser verdadeiro.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	cloudfront-associated-with-waf	Esse controle verifica se CloudFront as distribuições estão associadas às ACLs web do AWS WAF ou do AWS WAFv2. O controle falhará se a distribuição não estiver associada a uma ACL da web. O AWS WAF é um firewall de aplicações Web que ajuda a proteger aplicações Web e APIs contra ataques. Isso permite configurar um conjunto de regras chamado de lista de controle de acesso à web (ACL da web) que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Garanta que sua CloudFront distribuição esteja associada a uma ACL web do AWS WAF para ajudar a protegê-la contra ataques maliciosos. Essa regra deve ser aplicada na região leste dos EUA-1. Implante com o parâmetro do modelo DeployEdgeRules = true.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	dms-replication-not-public	Gerencie o acesso à Nuvem AWS garantindo que as instâncias de replicação do AWS Database Migration Service (DMS) não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	ec2-instance-no-public-ip	Gerencie o acesso à Nuvem AWS garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	ec2-instances-in-vpc	Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	elasticsearch-in-vpc-only	Esse controle verifica se os domínios do Elasticsearch estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	emr-master-no-public-ip	Gerencie o acesso à Nuvem AWS garantindo que os nós principais do cluster Amazon Elastic MapReduce (EMR) não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	guardduty-enabled-centralized	A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de nuvem da AWS.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	lambda-function-public-access-prohibited	Gerencie o acesso aos recursos na nuvem da AWS garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	opensearch-in-vpc-only	Esse controle verifica se os OpenSearch domínios estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os OpenSearch domínios não estejam vinculados a sub-redes públicas. OpenSearch domínios implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos OpenSearch domínios, incluindo ACL de rede e grupos de segurança.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	rds-instance-public-access-check	Gerencie o acesso aos recursos na nuvem da AWS garantindo que as instâncias do Amazon Relational Database Service (RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	redshift-cluster-public-access-check	Gerencie o acesso aos recursos na nuvem da AWS garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	s3-account-level-public-access-blocks-periodic	Gerencie o acesso aos recursos na Nuvem AWS garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra define ignorar PublicAcls como Verdadeiro, bloquear PublicPolicy como Verdadeiro, PublicAcls bloquear como Verdadeiro e PublicBuckets restringir como Verdadeiro.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	sagemaker-notebook-no-direct-internet-access	Gerencie o acesso aos recursos na nuvem da AWS garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede para os recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus recursos da AWS.
3562	Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.)	vpc-flow-logs-enabled	Os registros de fluxo da nuvem privada virtual (VPC) fornecem registros detalhados de informações sobre o tráfego IP que entra e sai das interfaces de rede na sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14. C.02.)	elasticsearch-in-vpc-only	Esse controle verifica se os domínios do Elasticsearch estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, incluindo ACL de rede e grupos de segurança.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14. C.02.)	opensearch-in-vpc-only	Esse controle verifica se os OpenSearch domínios estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os OpenSearch domínios não estejam vinculados a sub-redes públicas. OpenSearch domínios implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos OpenSearch domínios, incluindo ACL de rede e grupos de segurança.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14. C.02.)	rds-instance-public-access-check	Gerencie o acesso aos recursos na nuvem da AWS garantindo que as instâncias do Amazon Relational Database Service (RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14. C.02.)	redshift-cluster-public-access-check	Gerencie o acesso aos recursos na nuvem da AWS garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3815	Segurança de rede, detecção e prevenção de intrusões, IDS/IPS manutenção (18.4.9. C.01.)	guardduty-enabled-centralized	A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de nuvem da AWS.
3857	Segurança de rede, detecção e prevenção de intrusões, configuração do (18.4.11. IDS/IPS C.01.)	guardduty-eks-protection-audit-enabled	Esse controle verifica se o GuardDuty EKS Audit Log Monitoring está ativado. GuardDuty O EKS Audit Log Monitoring ajuda você a detectar atividades potencialmente suspeitas em seus clusters do Amazon Elastic Kubernetes Service (Amazon EKS). O Monitoramento de logs de auditoria do EKS usa registros de auditoria do Kubernetes para capturar atividades cronológicas de usuários e aplicações usando a API Kubernetes e o ambiente de gerenciamento.
3857	Segurança de rede, detecção e prevenção de intrusões, configuração do (18.4.11. IDS/IPS C.01.)	guardduty-eks-protection-runtime-enabled	Esse controle verifica se o GuardDuty EKS Runtime Monitoring com gerenciamento automatizado de agentes está ativado. O EKS Protection na Amazon GuardDuty fornece cobertura de detecção de ameaças para ajudar você a proteger os clusters do Amazon EKS em seu ambiente da AWS. O Monitoramento de Runtime do EKS usa eventos ao nível do sistema operacional para ajudar a detectar possíveis ameaças nos nós e contêineres do EKS em seus clusters do EKS.
3857	Segurança de rede, detecção e prevenção de intrusões, configuração do (18.4.11. IDS/IPS C.01.)	guardduty-lambda-protection-enabled	Esse controle verifica se a Proteção GuardDuty Lambda está ativada. GuardDuty O Lambda Protection ajuda você a identificar possíveis ameaças à segurança quando uma função do AWS Lambda é invocada. Depois de habilitar o Lambda Protection, GuardDuty comece a monitorar os registros de atividades da rede Lambda associados às funções do Lambda em sua conta da AWS. Quando uma função Lambda é invocada e GuardDuty identifica tráfego de rede suspeito que indica a presença de um código potencialmente malicioso em sua função Lambda, gera uma descoberta. GuardDuty
3857	Segurança de rede, detecção e prevenção de intrusões, configuração do (18.4.11. IDS/IPS C.01.)	guardduty-s3-protection-enabled	Esse controle verifica se o GuardDuty S3 Protection está ativado. O S3 Protection permite GuardDuty monitorar operações de API em nível de objeto para identificar possíveis riscos de segurança para dados em seus buckets do Amazon S3. GuardDuty monitora ameaças contra seus recursos do S3 analisando eventos de CloudTrail gerenciamento da AWS e eventos de dados CloudTrail do S3.
3875	Segurança de rede, detecção e prevenção de intrusões, gerenciamento e correlação de eventos (18.4.12. C.01.)	guardduty-enabled-centralized	A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de nuvem da AWS.
3875	Segurança de rede, detecção e prevenção de intrusões, gerenciamento e correlação de eventos (18.4.12. C.01.)	securityhub-enabled	O AWS Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.)	elasticsearch-encrypted-at-rest	Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.)	opensearch-encrypted-at-rest	Esse controle verifica se os OpenSearch domínios têm a configuração de criptografia em repouso ativada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para uma camada adicional de segurança para dados confidenciais, você deve configurar seu domínio de OpenSearch serviço para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.)	rds-logging-enabled	Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (RDS) esteja ativado. Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.)	rds-snapshot-encrypted	Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (RDS) do Amazon Relational Database Service (RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.)	rds-snapshots-public-prohibited	Gerencie o acesso aos recursos na nuvem da AWS garantindo que as instâncias do Amazon Relational Database Service (RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.)	rds-storage-encrypted	Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.)	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra define cluster como DbEncrypted true e loggingEnabled como true.
4445	Gerenciamento de dados, bancos de dados, responsabilidade (20.4.5. C.02.)	rds-logging-enabled	Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (RDS) esteja ativado. Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
4445	Gerenciamento de dados, bancos de dados, responsabilidade (20.4.5. C.02.)	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra define cluster como DbEncrypted true e loggingEnabled como true.
4829	Segurança de sistemas corporativos, computação em nuvem, disponibilidade do sistema (22.1.23. C.01.)	dynamodb-autoscaling-enabled	O escalonamento automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua read/write capacidade provisionada para lidar com aumentos repentinos no tráfego, sem limitação.
4829	Segurança de sistemas corporativos, computação em nuvem, disponibilidade do sistema (22.1.23. C.01.)	elb-cross-zone-load-balancing-enabled	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade ativada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
4838	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.)	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessaram um bucket do Amazon S3, endereço IP e horário do evento.
4838	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.)	ebs-snapshot-public-restorable-check	Gerencie o acesso à Nuvem AWS garantindo que os snapshots do Amazon Elastic Block Store (EBS) não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
4838	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.)	s3-account-level-public-access-blocks-periodic	Gerencie o acesso aos recursos na Nuvem AWS garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra define ignorar PublicAcls como Verdadeiro, bloquear PublicPolicy como Verdadeiro, PublicAcls bloquear como Verdadeiro e PublicBuckets restringir como Verdadeiro.
4838	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.)	s3-bucket-public-read-prohibited	Gerencie o acesso aos recursos na Nuvem AWS permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
4838	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.)	s3-bucket-public-write-prohibited	Gerencie o acesso aos recursos na Nuvem AWS permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	dynamodb-table-encrypted-kms	Habilite a criptografia para as tabelas do Amazon DynamoDB. Como pode haver dados confidenciais em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a protegê-los. Por padrão, as tabelas do DynamoDB são criptografadas com uma chave do Key Management Service (KMS) de propriedade da AWS.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	elasticsearch-encrypted-at-rest	Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	elasticsearch-node-to-node-encryption-check	Esse controle verifica se os domínios do Elasticsearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	elb-tls-https-listeners-only	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	encrypted-volumes	Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (EBS).
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	opensearch-encrypted-at-rest	Esse controle verifica se os OpenSearch domínios têm a configuração de criptografia em repouso ativada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para uma camada adicional de segurança para dados confidenciais, você deve configurar seu domínio de OpenSearch serviço para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	opensearch-node-to-node-encryption-check	Esse controle verifica se os OpenSearch domínios têm a criptografia de nó a nó ativada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. A ativação da criptografia de nó a nó para OpenSearch domínios garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	rds-snapshot-encrypted	Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (RDS) do Amazon Relational Database Service (RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	rds-storage-encrypted	Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra define cluster como DbEncrypted true e loggingEnabled como true.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	redshift-require-tls-ssl	Certifique-se de que seus clusters do Amazon Redshift exijam TLS/SSL criptografia para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	s3-bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	sagemaker-endpoint-configuration-kms-key-configured	Para ajudar a proteger dados em repouso, garanta que a criptografia com o AWS Key Management Service (KMS) esteja habilitada para seu endpoint. SageMaker Como dados confidenciais podem existir em repouso no SageMaker endpoint, ative a criptografia em repouso para ajudar a proteger esses dados.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	sagemaker-notebook-instance-kms-key-configured	Para ajudar a proteger dados em repouso, garanta que a criptografia com o AWS Key Management Service (KMS) esteja habilitada para seu notebook. SageMaker Como dados confidenciais podem existir em repouso no SageMaker notebook, ative a criptografia em repouso para ajudar a proteger esses dados.
4839	Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.)	secretsmanager-using-cmk	Para ajudar a proteger dados em repouso, garanta que a criptografia com o AWS Key Management Service (KMS) esteja habilitada para segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los.
4849	Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.)	db-instance-backup-enabled	O recurso de backup do Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
4849	Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.)	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
4849	Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.)	elasticache-redis-cluster-automatic-backup-check	Quando os backups automáticos estão habilitados, a Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
4849	Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.)	rds-cluster-deletion-protection-enabled	Certifique-se de que as instâncias do Amazon Relational Database Service (RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que as instâncias do RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade para suas aplicações.
4849	Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.)	rds-instance-deletion-protection-enabled	Certifique-se de que as instâncias do Amazon Relational Database Service (RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
4849	Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.)	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando snapshots automatizados são habilitados para um cluster, o Redshift tira snapshots desse cluster periodicamente. Por padrão, o Redshift tira um snapshot a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
6843	Controle de acesso e senhas, gerenciamento de acesso privilegiado, princípio do menor privilégio (16.4.31. C.02.)	mfa-enabled-for-iam-console-access	Multi-factor a autenticação (MFA) adiciona segurança extra ao exigir que os usuários forneçam autenticação exclusiva a partir de um mecanismo de AWS-supported MFA, além de suas credenciais de login regulares, ao acessarem sites ou serviços da AWS. Os mecanismos suportados incluem chaves de segurança U2F, dispositivos de MFA virtuais ou de hardware e códigos. SMS-based Essa regra verifica se o AWS MFA está habilitado para todos os usuários do AWS Identity and Access Management (IAM) que usam uma senha de console. A regra será COMPLIANT se a MFA estiver habilitada.
6843	Controle de acesso e senhas, gerenciamento de acesso privilegiado, princípio do menor privilégio (16.4.31. C.02.)	root-account-hardware-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifatorial de hardware (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
6852	Controle de acesso e senhas, gerenciamento de acesso privilegiado, suspensão e revogação de credenciais de acesso privilegiado (16.4.33. C.01.)	iam-user-unused-credentials-check	O AWS Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso, verificando senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar a and/or remoção das credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra define no máximo CredentialUsageAge 30 dias.
6860	Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e revisão (16.4.35. C.02.)	cloud-trail-cloud-watch-logs-enabled	Você deve configurar CloudTrail com o CloudWatch Logs para monitorar seus registros de trilhas e ser notificado quando ocorrer uma atividade específica. Essa regra verifica se as CloudTrail trilhas da AWS estão configuradas para enviar registros para os CloudWatch registros da Amazon.
6860	Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e revisão (16.4.35. C.02.)	cloudtrail-enabled	A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents.
6861	Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e revisão (16.4.35. C.03.)	cloudtrail-security-trail-enabled	Essa regra ajuda a garantir o uso das melhores práticas de segurança recomendadas pela AWS para a AWS CloudTrail, verificando a habilitação de várias configurações. Isso inclui o uso de criptografia de registros, validação de registros e habilitação da AWS CloudTrail em várias regiões.
6953	Controle de acesso e senhas, Multi-Factor autenticação, arquitetura do sistema e controles de segurança (16.7.34. C.02.)	mfa-enabled-for-iam-console-access	Multi-factor a autenticação (MFA) adiciona segurança extra ao exigir que os usuários forneçam autenticação exclusiva a partir de um mecanismo de AWS-supported MFA, além de suas credenciais de login regulares, ao acessarem sites ou serviços da AWS. Os mecanismos suportados incluem chaves de segurança U2F, dispositivos de MFA virtuais ou de hardware e códigos. SMS-based Essa regra verifica se o AWS MFA está habilitado para todos os usuários do AWS Identity and Access Management (IAM) que usam uma senha de console. A regra será COMPLIANT se a MFA estiver habilitada.
6953	Controle de acesso e senhas, Multi-Factor autenticação, arquitetura do sistema e controles de segurança (16.7.34. C.02.)	root-account-hardware-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifatorial de hardware (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
7436	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso aos recursos na nuvem da AWS. Esta regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para usuários do IAM.
7436	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	mfa-enabled-for-iam-console-access	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifator (MFA) esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários do IAM utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
7436	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	root-account-hardware-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifatorial de hardware (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
7436	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	root-account-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifator (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
7437	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso aos recursos na nuvem da AWS. Esta regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para usuários do IAM.
7437	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	mfa-enabled-for-iam-console-access	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifator (MFA) esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários do IAM utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
7437	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	root-account-hardware-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifatorial de hardware (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
7437	Segurança na nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19. C.01.)	root-account-mfa-enabled	Gerencie o acesso aos recursos na nuvem da AWS garantindo que a autenticação multifator (MFA) esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas da AWS.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	dms-replication-not-public	Gerencie o acesso à Nuvem AWS garantindo que as instâncias de replicação do AWS Database Migration Service (DMS) não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	ec2-instance-no-public-ip	Gerencie o acesso à Nuvem AWS garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	ec2-instances-in-vpc	Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	elasticsearch-in-vpc-only	Esse controle verifica se os domínios do Elasticsearch estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	emr-master-no-public-ip	Gerencie o acesso à Nuvem AWS garantindo que os nós principais do cluster Amazon Elastic MapReduce (EMR) não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	guardduty-enabled-centralized	A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de nuvem da AWS.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	lambda-function-public-access-prohibited	Gerencie o acesso aos recursos na nuvem da AWS garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	opensearch-in-vpc-only	Esse controle verifica se os OpenSearch domínios estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os OpenSearch domínios não estejam vinculados a sub-redes públicas. OpenSearch domínios implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos OpenSearch domínios, incluindo ACL de rede e grupos de segurança.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	rds-instance-public-access-check	Gerencie o acesso aos recursos na nuvem da AWS garantindo que as instâncias do Amazon Relational Database Service (RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	redshift-cluster-public-access-check	Gerencie o acesso aos recursos na nuvem da AWS garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	s3-account-level-public-access-blocks-periodic	Gerencie o acesso aos recursos na Nuvem AWS garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra define ignorar PublicAcls como Verdadeiro, bloquear PublicPolicy como Verdadeiro, PublicAcls bloquear como Verdadeiro e PublicBuckets restringir como Verdadeiro.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	sagemaker-notebook-no-direct-internet-access	Gerencie o acesso aos recursos na nuvem da AWS garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	ssm-document-not-public	Certifique-se de que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos de SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	vpc-default-security-group-closed	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede para os recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus recursos da AWS.
7466	Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.)	vpc-flow-logs-enabled	Os registros de fluxo da nuvem privada virtual (VPC) fornecem registros detalhados de informações sobre o tráfego IP que entra e sai das interfaces de rede na sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	api-gw-execution-logging-enabled	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	cloud-trail-log-file-validation-enabled	Utilize a validação do arquivo de CloudTrail log da AWS para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso foi criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinatura digital. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	cloudfront-accesslogs-enabled	Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro de acesso não estiver habilitado para uma distribuição. CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Essa regra deve ser aplicada na região leste dos EUA-1.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	cloudtrail-enabled	A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	cloudwatch-log-group-encrypted	Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	rds-logging-enabled	Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (RDS) esteja ativado. Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
7496	Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.)	wafv2-logging-enabled	Para ajudar com o registro e o monitoramento em seu ambiente, habilite o login do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
7545	Controle de acesso e senhas, identificação, autenticação e autenticação, senhas e política (16.1.31. C.02.)	iam-password-policy	Garanta alterações anuais de senha em sistemas que não implementaram a autenticação multifator (MFA) ou a autenticação sem senha.
7546	Controle de acesso e senhas, identificação, autenticação e autenticação, senhas e política (16.1.31. C.03.)	iam-password-policy	Garanta um tamanho mínimo de senha de 16 caracteres (por exemplo, quatro palavras). As senhas devem ser longas, fortes e exclusivas. Nenhum requisito explícito de complexidade é imposto (por exemplo, números ou caracteres especiais), no entanto, as senhas devem ser exclusivas ou aleatórias e podem incluir caracteres e números especiais para conseguir isso.

Modelo



            ##################################################################################
            #
            #   Conformance Pack:
            #     Operational Best Practices for NZISM Foundation
            #
            #   This conformance pack helps verify compliance with NZISM requirements.
            #
            ##################################################################################

            Resources:
              AcmCertificateExpirationCheck:
                Controls: [ '1667' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: acm-certificate-expiration-check
                  InputParameters:
                    daysToExpiration: '30'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ACM::Certificate
                  Source:
                    Owner: AWS
                    SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK
                  Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications"
              AlbHttpToHttpsRedirectionCheck:
                Controls: [ '1847', '2090' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: alb-http-to-https-redirection-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..."
              ApiGwExecutionLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: api-gw-execution-logging-enabled
                  InputParameters:
                    loggingLevel: 'ERROR, INFO'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ApiGateway::Stage
                      - AWS::ApiGatewayV2::Stage
                  Source:
                    Owner: AWS
                    SourceIdentifier: API_GW_EXECUTION_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudTrailCloudWatchLogsEnabled:
                Controls: [ '1998', '6860' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-cloud-watch-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..."
              CloudTrailEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-encryption-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              CloudTrailLogFileValidationEnabled:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-log-file-validation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CloudfrontAccesslogsEnabled:
                Condition: IsEdge
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-accesslogs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudfrontAssociatedWithWaf:
                Condition: IsEdge
                Controls: [ '3562' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-associated-with-waf
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF
                  Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways"
              CloudfrontDefaultRootObjectConfigured:
                Condition: IsEdge
                Controls: [ '1661' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-default-root-object-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED
                  Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content"
              CloudfrontViewerPolicyHttps:
                Condition: IsEdge
                Controls: [ '1847' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-viewer-policy-https
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS
                  Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit"
              CloudtrailEnabled:
                Controls: [ '1998', '2013', '6860', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..."
              CloudtrailS3DataeventsEnabled:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-s3-dataevents-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              CloudtrailSecurityTrailEnabled:
                Controls: [ '6861' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-security-trail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED
                  Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review"
              CloudwatchLogGroupEncrypted:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudwatch-log-group-encrypted
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CmkBackingKeyRotationEnabled:
                Controls: [ '3021' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cmk-backing-key-rotation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
                  Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs"
              CwLoggroupRetentionPeriodCheck:
                Controls: [ '1998', '2028' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cw-loggroup-retention-period-check
                  InputParameters:
                    MinRetentionTime: '545'
                  Source:
                    Owner: AWS
                    SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..."
              DbInstanceBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: db-instance-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DmsReplicationNotPublic:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dms-replication-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              DynamodbAutoscalingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-autoscaling-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              DynamodbPitrEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-pitr-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_PITR_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DynamodbTableEncryptedKms:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-table-encrypted-kms
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              EbsSnapshotPublicRestorableCheck:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ebs-snapshot-public-restorable-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              Ec2EbsEncryptionByDefault:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-ebs-encryption-by-default
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              Ec2Imdsv2Check:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-imdsv2-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_IMDSV2_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstanceManagedBySystemsManager:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-managed-by-systems-manager
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                      - AWS::SSM::ManagedInstanceInventory
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2InstanceNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-no-public-ip
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstancesInVpc:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instances-in-vpc
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: INSTANCES_IN_VPC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2ManagedinstanceAssociationComplianceStatusCheck:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-association-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::AssociationCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2ManagedinstancePatchComplianceStatusCheck:
                Controls: [ '3449', '3451', '3452', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-patch-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::PatchCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.04[CID:3451], SHOULD 12.4.4.C.05[CID:3452], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Pa..."
              EcrPrivateImageScanningEnabled:
                Controls: [ '3449' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecr-private-image-scanning-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECR::Repository
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECR_PRIVATE_IMAGE_SCANNING_ENABLED
                  Description: "MUST 12.4.4.C.02[CID:3449]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              EcsContainersNonprivileged:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-nonprivileged
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_NONPRIVILEGED
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EcsContainersReadonlyAccess:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-readonly-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_READONLY_ACCESS
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EfsEncryptedCheck:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: efs-encrypted-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EFS_ENCRYPTED_CHECK
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              ElasticBeanstalkManagedUpdatesEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elastic-beanstalk-managed-updates-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticBeanstalk::Environment
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              ElasticacheRedisClusterAutomaticBackupCheck:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticache-redis-cluster-automatic-backup-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              ElasticsearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-encrypted-at-rest
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              ElasticsearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-in-vpc-only
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              ElasticsearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Elasticsearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              ElbCrossZoneLoadBalancingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-cross-zone-load-balancing-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              ElbCustomSecurityPolicySslCheck:
                Controls: [ '2598', '2600' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-custom-security-policy-ssl-check
                  InputParameters:
                    sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK
                  Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS"
              ElbLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                      - AWS::ElasticLoadBalancingV2::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              ElbTlsHttpsListenersOnly:
                Controls: [ '1667', '1847', '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-tls-https-listeners-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY
                  Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..."
              EmrMasterNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: emr-master-no-public-ip
                  Source:
                    Owner: AWS
                    SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              EncryptedVolumes:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: encrypted-volumes
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Volume
                  Source:
                    Owner: AWS
                    SourceIdentifier: ENCRYPTED_VOLUMES
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              GuarddutyEksProtectionAuditEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-audit-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEksProtectionRuntimeEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-runtime-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEnabledCentralized:
                Controls: [ '3562', '3815', '3875', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-enabled-centralized
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_ENABLED_CENTRALIZED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 18.4.9.C.01[CID:3815], SHOULD 18.4.12.C.01[CID:3875], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateway..."
              GuarddutyLambdaProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-lambda-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_LAMBDA_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyRuntimeMonitoringEnabled:
                Controls: [ '1154' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-runtime-monitoring-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_RUNTIME_MONITORING_ENABLED
                  Description: "SHOULD 7.1.7.C.02[CID:1154]| Information Security Incidents/Detecting Information Security Incidents/Preventing and detecting information security incidents"
              GuarddutyS3ProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-s3-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_S3_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              IamPasswordPolicy:
                Controls: [ '7545', '7546' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-password-policy
                  InputParameters:
                    MaxPasswordAge: '1095'
                    MinimumPasswordLength: '16'
                    PasswordReusePrevention: '24'
                    RequireUppercaseCharacters: 'false'
                    RequireLowercaseCharacters: 'false'
                    RequireSymbols: 'false'
                    RequireNumbers: 'false'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_PASSWORD_POLICY
                  Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy"
              IamPolicyNoStatementsWithAdminAccess:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-policy-no-statements-with-admin-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::IAM::Policy
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamRootAccessKeyCheck:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-root-access-key-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamUserMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              IamUserUnusedCredentialsCheck:
                Controls: [ '1893', '6852' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-unused-credentials-check
                  InputParameters:
                    maxCredentialUsageAge: '90'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
                  Description: "SHOULD 16.1.46.C.02[CID:1893], MUST 16.4.33.C.01[CID:6852]| Access Control and Passwords: (Identification, Authentication and Passwords/Suspension of access and Privi..."
              LambdaFunctionPublicAccessProhibited:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: lambda-function-public-access-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Lambda::Function
                  Source:
                    Owner: AWS
                    SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              MfaEnabledForIamConsoleAccess:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: mfa-enabled-for-iam-console-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              OpensearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-encrypted-at-rest
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              OpensearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-in-vpc-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              OpensearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              RdsAutomaticMinorVersionUpgradeEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-automatic-minor-version-upgrade-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RdsClusterDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-cluster-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBCluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstanceDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstancePublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RdsLoggingEnabled:
                Controls: [ '2013', '4441', '4445', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..."
              RdsSnapshotEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshot-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RdsSnapshotsPublicProhibited:
                Controls: [ '4441' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshots-public-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED
                  Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files"
              RdsStorageEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-storage-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_STORAGE_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RedshiftBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RedshiftClusterConfigurationCheck:
                Controls: [ '4441', '4445', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-configuration-check
                  InputParameters:
                    clusterDbEncrypted: 'true'
                    loggingEnabled: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK
                  Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..."
              RedshiftClusterMaintenancesettingsCheck:
                Controls: [ '3449', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-maintenancesettings-check
                  InputParameters:
                    allowVersionUpgrade: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RedshiftClusterPublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RedshiftRequireTlsSsl:
                Controls: [ '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                   ConfigRuleName: redshift-require-tls-ssl
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL
                  Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..."
              RestrictedSsh:
                Controls: [ '2726' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: restricted-ssh
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: INCOMING_SSH_DISABLED
                  Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access"
              RootAccountHardwareMfaEnabled:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-hardware-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              RootAccountMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              S3AccountLevelPublicAccessBlocksPeriodic:
                Controls: [ '3562', '4838', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-account-level-public-access-blocks-periodic
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..."
              S3BucketPublicReadProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-read-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketPublicWriteProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-write-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketServerSideEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-server-side-encryption-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              S3BucketSslRequestsOnly:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-ssl-requests-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerEndpointConfigurationKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-endpoint-configuration-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookInstanceKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-instance-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookNoDirectInternetAccess:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-no-direct-internet-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              SecretsmanagerUsingCmk:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: secretsmanager-using-cmk
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SecretsManager::Secret
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECRETSMANAGER_USING_CMK
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SecurityhubEnabled:
                Controls: [ '3875' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: securityhub-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECURITYHUB_ENABLED
                  Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation"
              SsmDocumentNotPublic:
                Controls: [ '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ssm-document-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC
                  Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility"
              VpcDefaultSecurityGroupClosed:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-default-security-group-closed
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcFlowLogsEnabled:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-flow-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_FLOW_LOGS_ENABLED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcSgOpenOnlyToAuthorizedPorts:
                Controls: [ '3205' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-sg-open-only-to-authorized-ports
                  InputParameters:
                    authorizedTcpPorts: '443'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS
                  Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
              Wafv2LoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: wafv2-logging-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: WAFV2_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Melhores práticas operacionais para o NZISM 3.9 (extensão)

Melhores práticas operacionais para o NZISM 3.9 (NZ Transition)