

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Melhores práticas operacionais para PCI DSS 4.0 (exceto os tipos de recurso global)
<a name="operational-best-practices-for-pci-dss-v4-excluding-global-resource-types"></a>

Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.

Veja a seguir um exemplo de mapeamento entre o Payment Card Industry Data Security Standard (PCI DSS) 4.0 (excluindo tipos de recursos globais) e as regras gerenciadas do AWS Config. Cada AWS Config regra se aplica a um AWS recurso específico e está relacionada a um ou mais controles PCI DSS. Um controle do PCI DSS pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.


****  

| ID de controle  | Descrição do controle  | AWS Regra de configuração  | Orientação  | 
| --- | --- | --- | --- | 
| 1.2.5 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [transfer-family-server-no-ftp](transfer-family-server-no-ftp.md) | Certifique-se de que um servidor criado com o AWS Transfer Family não use FTP para conexão de endpoint. A regra será NON\_COMPLIANT se o protocolo do servidor para conexão do endpoint estiver habilitado para FTP. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON\_COMPLIANT se o endpoint estiver acessível publicamente. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | Observação: para essa regra, o identificador da regra (INCOMING\_SSH\_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON\_COMPLIANT. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON\_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | Certifique-se de que as portas padrão para tráfego SSH/RDP de entrada para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON\_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | Certifique-se de que as regras de autorização AWS do Client VPN não autorizem o acesso à conexão para todos os clientes. A regra é NON\_COMPLIANT se 'AccessAll' estiver presente e definida como verdadeira. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| 1.2.8 |  Os controles de segurança de rede (NSCs) são configurados e mantidos. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Certifique-se de que os clusters do Amazon Redshift tenham 'enhancedVpcRouting' ativado. A regra é NON\_COMPLIANT se 'enhancedVpcRouting' não estiver habilitado ou se a configuração. enhancedVpcRouting o campo é 'falso'. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON\_COMPLIANT se o endpoint estiver acessível publicamente. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | Observação: para essa regra, o identificador da regra (INCOMING\_SSH\_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON\_COMPLIANT. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON\_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | Certifique-se de que as portas padrão para tráfego SSH/RDP de entrada para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON\_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | Certifique-se de que as regras de autorização AWS do Client VPN não autorizem o acesso à conexão para todos os clientes. A regra é NON\_COMPLIANT se 'AccessAll' estiver presente e definida como verdadeira. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| 1.3.1 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Certifique-se de que os clusters do Amazon Redshift tenham 'enhancedVpcRouting' ativado. A regra é NON\_COMPLIANT se 'enhancedVpcRouting' não estiver habilitado ou se a configuração. enhancedVpcRouting o campo é 'falso'. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON\_COMPLIANT se o endpoint estiver acessível publicamente. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | Observação: para essa regra, o identificador da regra (INCOMING\_SSH\_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON\_COMPLIANT. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON\_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | Certifique-se de que as portas padrão para tráfego SSH/RDP de entrada para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON\_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | Certifique-se de que as regras de autorização AWS do Client VPN não autorizem o acesso à conexão para todos os clientes. A regra é NON\_COMPLIANT se 'AccessAll' estiver presente e definida como verdadeira. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| 1.3.2 |  O acesso à rede de e para o ambiente de dados do titular do cartão é restrito. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| 1.4.1 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| 1.4.1 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Certifique-se de que os clusters do Amazon Redshift tenham 'enhancedVpcRouting' ativado. A regra é NON\_COMPLIANT se 'enhancedVpcRouting' não estiver habilitado ou se a configuração. enhancedVpcRouting o campo é 'falso'. | 
| 1.4.1 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | Certifique-se de que o certificado associado a uma CloudFront distribuição da Amazon não seja o certificado SSL padrão. A regra é NON\_COMPLIANT se uma CloudFront distribuição usar o certificado SSL padrão. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Certifique-se de que os clusters do Amazon Redshift tenham 'enhancedVpcRouting' ativado. A regra é NON\_COMPLIANT se 'enhancedVpcRouting' não estiver habilitado ou se a configuração. enhancedVpcRouting o campo é 'falso'. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON\_COMPLIANT se o endpoint estiver acessível publicamente. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | Observação: para essa regra, o identificador da regra (INCOMING\_SSH\_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON\_COMPLIANT. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON\_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | Certifique-se de que as portas padrão para tráfego SSH/RDP de entrada para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON\_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | Certifique-se de que as regras de autorização AWS do Client VPN não autorizem o acesso à conexão para todos os clientes. A regra é NON\_COMPLIANT se 'AccessAll' estiver presente e definida como verdadeira. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| 1.4.2 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| 1.4.3 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| 1.4.3 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| 1.4.3 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [netfw-policy-default-action-full-packets](netfw-policy-default-action-full-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação sem estado padrão definida pelo usuário para pacotes completos. Essa regra será NON\_COMPLIANT se a ação sem estado padrão para pacotes completos não corresponder à ação sem estado padrão definida pelo usuário. | 
| 1.4.4 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| 1.4.4 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [redshift-enhanced-vpc-routing-enabled](redshift-enhanced-vpc-routing-enabled.md) | Certifique-se de que os clusters do Amazon Redshift tenham 'enhancedVpcRouting' ativado. A regra é NON\_COMPLIANT se 'enhancedVpcRouting' não estiver habilitado ou se a configuração. enhancedVpcRouting o campo é 'falso'. | 
| 1.4.4 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| 1.4.5 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [ecs-task-definition-pid-mode-check](ecs-task-definition-pid-mode-check.md) | Certifique-se de que ECSTask as Definitions estejam configuradas para compartilhar o namespace de processo de um host com seus contêineres do Amazon Elastic Container Service (Amazon ECS). A regra será NON\_COMPLIANT se o parâmetro pidMode estiver definido como "host". | 
| 1.4.5 |  As conexões de rede entre redes confiáveis e não confiáveis são controladas. (PCI-DSS-v4.0) | [ec2-launch-template-public-ip-disabled](ec2-launch-template-public-ip-disabled.md) | Garanta que os modelos de execução do Amazon EC2 estejam configurados para atribuir endereços IP públicos às interfaces de rede. A regra é NON\_COMPLIANT se a versão padrão de um modelo de inicialização do EC2 tiver pelo menos 1 interface de rede com '' definido como AssociatePublicIpAddress 'verdadeiro'. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON\_COMPLIANT se o endpoint estiver acessível publicamente. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | Observação: para essa regra, o identificador da regra (INCOMING\_SSH\_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON\_COMPLIANT. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON\_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | Certifique-se de que as portas padrão para tráfego SSH/RDP de entrada para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON\_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | Certifique-se de que as regras de autorização AWS do Client VPN não autorizem o acesso à conexão para todos os clientes. A regra é NON\_COMPLIANT se 'AccessAll' estiver presente e definida como verdadeira. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| 1.5.1 |  Os riscos para o CDE causados por dispositivos de computação capazes de se conectar tanto a redes não confiáveis quanto ao CDE são mitigados. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1.1 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1.3 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1.4 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1.5 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1.6 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.1.7 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.2.2 |  Os logs de auditoria são implementados para apoiar a detecção de anomalias e atividades suspeitas e a análise forense de eventos. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.3.1 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.3.2 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | Certifique-se de que haja pelo menos uma AWS CloudTrail trilha definida com as melhores práticas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | 
| 10.3.2 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON\_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | 
| 10.3.2 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 10.3.2 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| 10.3.2 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| 10.3.2 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| 10.3.2 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON\_COMPLIANT se o Exclusão de MFA não estiver habilitada. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [aurora-resources-protected-by-plano de backup](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-protected-by-backup-plan.html) | Garanta que os clusters de banco de dados do Amazon Aurora estejam protegidos por um plano de backup. A regra será NON\_COMPLIANT se o cluster de banco de dados do Amazon Relational Database Service (Amazon RDS) não estiver protegido por um plano de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [db-instance-backup-enabled](db-instance-backup-enabled.md) | Garanta que as instâncias de banco de dados do RDS tenham os backups habilitados. Opcionalmente, a regra verifica o período de retenção de backup e a janela de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | Certifique-se de que as tabelas do Amazon DynamoDB estejam presentes nos AWS Planos de Backup. A regra é NON\_COMPLIANT se as tabelas do Amazon DynamoDB não estiverem presentes em nenhum plano de Backup. AWS  | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [dynamodb-resources-protected-by-plano de backup](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html) | Garanta que as tabelas do Amazon DynamoDB sejam protegidas por um plano de backup. A regra será NON\_COMPLIANT se a tabela do DynamoDB não estiver coberta por um plano de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | Garanta que os volumes do Amazon Elastic Block Store (Amazon EBS) sejam adicionados aos planos de backup do Backup. AWS A regra será NON\_COMPLIANT se os volumes do Amazon EBS não estiverem incluídos nos planos de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [ebs-resources-protected-by-plano de backup](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html) | Garanta que os volumes do Amazon Elastic Block Store (Amazon EBS) estejam protegidos por um plano de backup. A regra será NON\_COMPLIANT se o volume do Amazon EBS não estiver coberto por um plano de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [plano ec2- resources-protected-by-backup](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-protected-by-backup-plan.html) | Garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) estejam protegidas por um plano de backup. A regra será NON\_COMPLIANT se a instância do Amazon EC2 não estiver coberta por um plano de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [efs-resources-protected-by-plano de backup](https://docs.aws.amazon.com/config/latest/developerguide/efs-resources-protected-by-backup-plan.html) | Garanta que os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) estejam protegidos por um plano de backup. A regra será NON\_COMPLIANT se o sistema de arquivos do EFS não estiver coberto por um plano de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [elasticache-redis-cluster-automatic-backup-check](elasticache-redis-cluster-automatic-backup-check.md) | Verifique se os clusters do Amazon ElastiCache Redis têm o backup automático ativado. A regra é NON\_COMPLIANT se o cluster SnapshotRetentionLimit for Redis for menor que o parâmetro. SnapshotRetentionPeriod Por exemplo: se o parâmetro for 15, a regra não estará em conformidade se snapshotRetentionPeriod estiver entre 0 e 15. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [fsx-resources-protected-by-plano de backup](https://docs.aws.amazon.com/config/latest/developerguide/fsx-resources-protected-by-backup-plan.html) | Garanta que os sistemas de FSx arquivos da Amazon estejam protegidos por um plano de backup. A regra é NON\_COMPLIANT se o Amazon FSx File System não estiver coberto por um plano de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [neptune-cluster-backup-retention-check](neptune-cluster-backup-retention-check.md) | Garanta que um período de retenção do cluster de banco de dados do Amazon Neptune esteja definido para um número específico de dias. A regra será NON\_COMPLIANT se o período de retenção for menor do que o valor especificado pelo parâmetro. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [rds-in-backup-plan](rds-in-backup-plan.md) | Certifique-se de que os bancos de dados do Amazon Relational Database Service (Amazon RDS) estejam presentes nos planos de AWS Backup. A regra é NON\_COMPLIANT se os bancos de dados do Amazon RDS não estiverem incluídos em nenhum plano de Backup. AWS  | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [redshift-backup-enabled](redshift-backup-enabled.md) | Garanta que os instantâneos automatizados do Amazon Redshift estejam habilitados para clusters. A regra é NON\_COMPLIANT se o valor de automatedSnapshotRetention Período for maior MaxRetentionPeriod ou menor MinRetentionPeriod ou se o valor for 0. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [plano s3 resources-protected-by-backup](https://docs.aws.amazon.com/config/latest/developerguide/s3-resources-protected-by-backup-plan.html) | Garanta que os buckets do Amazon Simple Storage Service (Amazon S3) estejam protegidos por um plano de backup. A regra será NON\_COMPLIANT se o bucket do Amazon S3 não estiver coberto por um plano de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | Certifique-se de que haja pelo menos uma AWS CloudTrail trilha definida com as melhores práticas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [db-instance-backup-enabled](db-instance-backup-enabled.md) | Garanta que as instâncias de banco de dados do RDS tenham os backups habilitados. Opcionalmente, a regra verifica o período de retenção de backup e a janela de backup. | 
| 10.3.3 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Certifique-se de que a point-in-time recuperação (PITR) esteja habilitada para tabelas do Amazon DynamoDB. A regra será NON\_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | 
| 10.3.4 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [s3-bucket-default-lock-enabled](s3-bucket-default-lock-enabled.md) | Garanta que o bucket do S3 tenha o bloqueio habilitado, por padrão. A regra será NON\_COMPLIANT se o bloqueio não estiver habilitado. | 
| 10.3.4 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | Garanta que o versionamento esteja habilitado para seus buckets do S3. Opcionalmente, a regra verifica se a exclusão MFA está habilitada para seus buckets do S3. | 
| 10.3.4 |  Os logs de auditoria são protegidos contra destruição e modificações não autorizadas. (PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | Certifique-se de que haja pelo menos uma AWS CloudTrail trilha definida com as melhores práticas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| 10.4.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| 10.4.1.1 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| 10.4.2 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 10.4.3 |  Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.5.1 |  O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | Certifique-se de que haja pelo menos uma AWS CloudTrail trilha definida com as melhores práticas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | 
| 10.5.1 |  O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | 
| 10.5.1 |  O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON\_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | 
| 10.5.1 |  O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Certifique-se de que a point-in-time recuperação (PITR) esteja habilitada para tabelas do Amazon DynamoDB. A regra será NON\_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | 
| 10.5.1 |  O histórico do log de auditoria é retido e está disponível para análise. (PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Certifique-se de que um período CloudWatch LogGroup de retenção da Amazon seja definido para mais de 365 dias ou então um período de retenção especificado. A regra é NON\_COMPLIANT se o período de retenção for menor que MinRetentionTime, se especificado, ou então 365 dias. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 10.6.3 |  Os mecanismos de sincronização de tempo oferecem suporte a configurações de tempo consistentes em todos os sistemas. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| 10.7.1 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| 10.7.2 |  Falhas em sistemas críticos de controle de segurança são detectadas, relatadas e respondidas prontamente. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 11.5.2 |  Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 11.5.2 |  Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 11.5.2 |  Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | Certifique-se de que CloudWatch os alarmes com o nome da métrica fornecida tenham as configurações especificadas. | 
| 11.5.2 |  Intrusões na rede e alterações inesperadas nos arquivos são detectadas e respondidas. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 11.6.1 |  As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 11.6.1 |  As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 11.6.1 |  As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | Certifique-se de que CloudWatch os alarmes com o nome da métrica fornecida tenham as configurações especificadas. | 
| 11.6.1 |  As alterações não autorizadas nas páginas de pagamento são detectadas e respondidas. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 12.10.5 |  Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 12.10.5 |  Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| 12.10.5 |  Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | Certifique-se de que CloudWatch os alarmes com o nome da métrica fornecida tenham as configurações especificadas. | 
| 12.10.5 |  Os incidentes de segurança suspeitos e confirmados que possam afetar o CDE são respondidos imediatamente. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| 12.4.2.1 |  A conformidade do PCI DSS é gerenciada. (PCI-DSS-v4.0) | [service-catalog-shared-within-organization](service-catalog-shared-within-organization.md) | Certifique-se AWS de que o Service Catalog compartilhe portfólios com uma organização (um conjunto de AWS contas tratadas como uma única unidade) quando a integração estiver habilitada com o AWS Organizations. A regra será NON\_COMPLIANT se o valor de "Tipo" de uma ação for "ACCOUNT". | 
| 2.2.5 |  Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | [transfer-family-server-no-ftp](transfer-family-server-no-ftp.md) | Certifique-se de que um servidor criado com o AWS Transfer Family não use FTP para conexão de endpoint. A regra será NON\_COMPLIANT se o protocolo do servidor para conexão do endpoint estiver habilitado para FTP. | 
| 2.2.7 |  Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para TLS/SSL criptografia de dados comunicados com outros endpoints. A regra é NON\_COMPLIANT se a TLS/SSL criptografia não estiver habilitada. | 
| 2.2.7 |  Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 2.2.7 |  Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON\_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | 
| 2.2.7 |  Os componentes do sistema são configurados e gerenciados com segurança. (PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra é NON\_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | 
| 3.2.1 |  O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | 
| 3.2.1 |  O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON\_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | 
| 3.2.1 |  O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Certifique-se de que a point-in-time recuperação (PITR) esteja habilitada para tabelas do Amazon DynamoDB. A regra será NON\_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | 
| 3.2.1 |  O armazenamento dos dados da conta é mantido no mínimo. (PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Certifique-se de que um período CloudWatch LogGroup de retenção da Amazon seja definido para mais de 365 dias ou então um período de retenção especificado. A regra é NON\_COMPLIANT se o período de retenção for menor que MinRetentionTime, se especificado, ou então 365 dias. | 
| 3.3.1.1 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | 
| 3.3.1.1 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON\_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | 
| 3.3.1.1 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Certifique-se de que a point-in-time recuperação (PITR) esteja habilitada para tabelas do Amazon DynamoDB. A regra será NON\_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | 
| 3.3.1.1 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Certifique-se de que um período CloudWatch LogGroup de retenção da Amazon seja definido para mais de 365 dias ou então um período de retenção especificado. A regra é NON\_COMPLIANT se o período de retenção for menor que MinRetentionTime, se especificado, ou então 365 dias. | 
| 3.3.1.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | 
| 3.3.1.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON\_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | 
| 3.3.1.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Certifique-se de que a point-in-time recuperação (PITR) esteja habilitada para tabelas do Amazon DynamoDB. A regra será NON\_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | 
| 3.3.1.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Certifique-se de que um período CloudWatch LogGroup de retenção da Amazon seja definido para mais de 365 dias ou então um período de retenção especificado. A regra é NON\_COMPLIANT se o período de retenção for menor que MinRetentionTime, se especificado, ou então 365 dias. | 
| 3.3.2 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | 
| 3.3.2 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON\_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | 
| 3.3.2 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Certifique-se de que a point-in-time recuperação (PITR) esteja habilitada para tabelas do Amazon DynamoDB. A regra será NON\_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | 
| 3.3.2 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Certifique-se de que um período CloudWatch LogGroup de retenção da Amazon seja definido para mais de 365 dias ou então um período de retenção especificado. A regra é NON\_COMPLIANT se o período de retenção for menor que MinRetentionTime, se especificado, ou então 365 dias. | 
| 3.3.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ec2-volume-inuse-check](ec2-volume-inuse-check.md) | Garanta que os volumes EBS estejam anexados a instâncias do EC2. Opcionalmente, garanta que os volumes EBS estejam marcados para exclusão quando uma instância for encerrada. | 
| 3.3.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [ecr-private-lifecycle-policy-configured](ecr-private-lifecycle-policy-configured.md) | Garanta que um repositório privado do Amazon Elastic Container Registry (ECR) tenha pelo menos uma política de ciclo de vida configurada. A regra será NON\_COMPLIANT se nenhuma política de ciclo de vida estiver configurada para o repositório privado do ECR. | 
| 3.3.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [dynamodb-pitr-enabled](dynamodb-pitr-enabled.md) | Certifique-se de que a point-in-time recuperação (PITR) esteja habilitada para tabelas do Amazon DynamoDB. A regra será NON\_COMPLIANT se PITR não estiver habilitada para tabelas do DynamoDB. | 
| 3.3.3 |  Os dados confidenciais de autenticação (SAD) não são armazenados após a autorização. (PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Certifique-se de que um período CloudWatch LogGroup de retenção da Amazon seja definido para mais de 365 dias ou então um período de retenção especificado. A regra é NON\_COMPLIANT se o período de retenção for menor que MinRetentionTime, se especificado, ou então 365 dias. | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [athena-workgroup-encrypted-at-descanso](athena-workgroup-encrypted-at-rest.md) | Garanta que um grupo de trabalho do Amazon Athena esteja criptografado em repouso. A regra será NON\_COMPLIANT se a criptografia de dados em repouso não estiver habilitada para um grupo de trabalho do Athena. | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [neptune-cluster-snapshot-encrypted](neptune-cluster-snapshot-encrypted.md) | Garanta que um cluster de banco de dados do Amazon Neptune tenha instantâneos criptografados. A regra será NON\_COMPLIANT se um cluster do Neptune não tiver instantâneos criptografados. | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [redshift-cluster-kms-enabled](redshift-cluster-kms-enabled.md) | Certifique-se de que os clusters do Amazon Redshift estejam usando uma AWS chave específica do Key Management Service (AWS KMS) para criptografia. A regra é COMPATÍVEL se a criptografia estiver habilitada e o cluster for criptografado com a chave fornecida no kmsKeyArn parâmetro. A regra será NON\_COMPLIANT se o cluster não estiver criptografado ou foi criptografado com outra chave. | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [codebuild-project-s3-logs-encrypted](codebuild-project-s3-logs-encrypted.md) | Certifique-se de que um AWS CodeBuild projeto configurado com o Amazon S3 Logs tenha a criptografia habilitada para seus registros. A regra é NON\_COMPLIANT se 'EncryptionDisabled' estiver definido como 'true' em um S3 de um projeto. LogsConfig CodeBuild  | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [eks-secrets-encrypted](eks-secrets-encrypted.md) | Certifique-se de que os clusters do Amazon Elastic Kubernetes Service estejam configurados para ter segredos do Kubernetes AWS criptografados usando chaves do Key Management Service (KMS). | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [api-gw-cache-enablede criptografado](api-gw-cache-enabled-and-encrypted.md) | Garanta que todos os métodos nos estágios do Amazon API Gateway tenham o cache habilitado e o cache criptografado. A regra será NON\_COMPLIANT se qualquer método em um estágio do Amazon API Gateway não estiver configurado para armazenamento em cache ou se o cache não estiver criptografado. | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | Certifique-se de que a tabela do Amazon DynamoDB seja criptografada AWS com o Key Management Service (KMS). A regra é NON\_COMPLIANT se a tabela do Amazon DynamoDB não estiver criptografada com o KMS. AWS A regra também é NON\_COMPLIANT se a chave AWS KMS criptografada não estiver presente no parâmetro de entrada. kmsKeyArns  | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | Certifique-se de que o projeto NÃO contenha variáveis de ambiente AWS\_ACCESS\_KEY\_ID e AWS\_SECRET \_ACCESS\_KEY. A regra será NON\_COMPLIANT quando as variáveis de ambiente do projeto contiverem credenciais em texto simples. | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [eks-cluster-secrets-encrypted](eks-cluster-secrets-encrypted.md) | Certifique-se de que os clusters do Amazon EKS não estejam configurados para ter segredos do Kubernetes criptografados usando o KMS. AWS A regra será NON\_COMPLIANT se um cluster do EKS não tiver um encryptionConfig ou se encryptionConfig não tiver segredos como um recurso. | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [kinesis-stream-encrypted](kinesis-stream-encrypted.md) | Garanta que os fluxos do Amazon Kinesis sejam criptografados em repouso com a criptografia do lado do servidor. A regra é NON\_COMPLIANT para um stream do Kinesis se '' não estiver presente. StreamEncryption | 
| 3.5.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [neptune-cluster-encrypted](neptune-cluster-encrypted.md) | Garanta que a criptografia de armazenamento esteja habilitada para seus clusters de banco de dados do Amazon Neptune. A regra será NON\_COMPLIANT se a criptografia de armazenamento não estiver habilitada. | 
| 3.5.1.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.5.1.1 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON\_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| 3.5.1.3 |  O número da conta primária (PAN) é protegido onde quer que esteja armazenado. (PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON\_COMPLIANT se o Exclusão de MFA não estiver habilitada. | 
| 3.6.1 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.6.1 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.6.1.2 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.6.1.2 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.6.1.3 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.6.1.3 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.6.1.4 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.6.1.4 |  As chaves criptográficas usadas para proteger os dados armazenados da conta são protegidas. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.7.1 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [acm-certificate-rsa-check](acm-certificate-rsa-check.md) | Certifique-se de que os certificados RSA gerenciados pelo AWS Certificate Manager (ACM) tenham um tamanho de chave de pelo menos '2048' bits. A regra não é compatível se o tamanho mínimo da chave for menor que 2048 bits. | 
| 3.7.1 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.7.1 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.7.2 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.7.2 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.7.4 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.7.4 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.7.6 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.7.6 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 3.7.7 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 3.7.7 |  Quando a criptografia é usada para proteger os dados armazenados da conta, os processos e procedimentos de gerenciamento de chaves que abrangem todos os aspectos do ciclo de vida da chave são definidos e implementados. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 4.2.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para TLS/SSL criptografia de dados comunicados com outros endpoints. A regra é NON\_COMPLIANT se a TLS/SSL criptografia não estiver habilitada. | 
| 4.2.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 4.2.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON\_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | 
| 4.2.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra é NON\_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | 
| 4.2.1.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [acm-pca-root-ca-desativado](acm-pca-root-ca-disabled.md) | Certifique-se de que a Autoridade de Certificação AWS AWS Privada (CA Privada) tenha uma CA raiz desativada. A regra é NON\_COMPLIANT para root CAs com status que não é DESABILITADO. | 
| 4.2.1.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [cloudfront-custom-ssl-certificate](cloudfront-custom-ssl-certificate.md) | Certifique-se de que o certificado associado a uma CloudFront distribuição da Amazon não seja o certificado SSL padrão. A regra é NON\_COMPLIANT se uma CloudFront distribuição usar o certificado SSL padrão. | 
| 4.2.1.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para TLS/SSL criptografia de dados comunicados com outros endpoints. A regra é NON\_COMPLIANT se a TLS/SSL criptografia não estiver habilitada. | 
| 4.2.1.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 4.2.1.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON\_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | 
| 4.2.1.1 |  O PAN é protegido com criptografia forte durante a transmissão. (PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra é NON\_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | Certifique-se de que haja pelo menos uma AWS CloudTrail trilha definida com as melhores práticas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| 5.3.4 |  Os mecanismos e processos antimalware são ativos, mantidos e monitorados. (PCI-DSS-v4.0) | [cw-loggroup-retention-period-check](cw-loggroup-retention-period-check.md) | Certifique-se de que um período CloudWatch LogGroup de retenção da Amazon seja definido para mais de 365 dias ou então um período de retenção especificado. A regra é NON\_COMPLIANT se o período de retenção for menor que MinRetentionTime, se especificado, ou então 365 dias. | 
| 6.3.3 |  As vulnerabilidades de segurança são identificadas e solucionadas. (PCI-DSS-v4.0) | [lambda-function-settings-check](lambda-function-settings-check.md) | Certifique-se de que as configurações AWS da função Lambda para tempo de execução, função, tempo limite e tamanho da memória correspondam aos valores esperados. A regra ignora funções com o tipo de pacote “Imagem” e funções com runtime definido como “Runtime somente no sistema operacional”. A regra será NON\_COMPLIANT se as configurações da função do Lambda não corresponderem aos valores esperados. | 
| 6.3.3 |  As vulnerabilidades de segurança são identificadas e solucionadas. (PCI-DSS-v4.0) | [eks-cluster-oldest-supported-version](eks-cluster-oldest-supported-version.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (EKS) esteja executando a versão mais antiga compatível. A regra será NON\_COMPLIANT se um cluster do EKS estiver executando a versão mais antiga compatível (igual ao parâmetro ''oldestVersionSupported). | 
| 6.4.1 |  Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| 6.4.1 |  Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | [wafv2-webacl-not-empty](wafv2-webacl-not-empty.md) | Certifique-se de que uma WAFv2 Web ACL contenha todas as regras do WAF ou grupos de regras do WAF. Essa regra será NON\_COMPLIANT se uma ACL da web não contiver nenhuma regra WAF ou grupos de regras do WAF. | 
| 6.4.1 |  Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | [wafv2-rulegroup-not-empty](wafv2-rulegroup-not-empty.md) | Certifique-se de que os WAFv2 grupos de regras contenham regras. A regra é NON\_COMPLIANT se não houver regras em um WAFv2 grupo de regras. | 
| 6.4.2 |  Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| 6.4.2 |  Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | [wafv2-webacl-not-empty](wafv2-webacl-not-empty.md) | Certifique-se de que uma WAFv2 Web ACL contenha todas as regras do WAF ou grupos de regras do WAF. Essa regra será NON\_COMPLIANT se uma ACL da web não contiver nenhuma regra WAF ou grupos de regras do WAF. | 
| 6.4.2 |  Os aplicativos da Web voltados para o público são protegidos contra ataques. (PCI-DSS-v4.0) | [wafv2-rulegroup-not-empty](wafv2-rulegroup-not-empty.md) | Certifique-se de que os WAFv2 grupos de regras contenham regras. A regra é NON\_COMPLIANT se não houver regras em um WAFv2 grupo de regras. | 
| 6.5.5 |  As alterações em todos os componentes do sistema são gerenciadas com segurança. (PCI-DSS-v4.0) | [codedeploy-lambda-allatonce-traffic-desativado por turnos](https://docs.aws.amazon.com/config/latest/developerguide/codedeploy-lambda-allatonce-traffic-shift-disabled.html) | Garanta que o grupo de implantação da Lambda Compute Platform não esteja usando a configuração de implantação padrão. A regra é NON\_COMPLIANT se o grupo de implantação estiver usando a configuração de implantação '. CodeDeployDefault LambdaAllAtOnce'. | 
| 6.5.6 |  As alterações em todos os componentes do sistema são gerenciadas com segurança. (PCI-DSS-v4.0) | [codedeploy-lambda-allatonce-traffic-desativado por turnos](https://docs.aws.amazon.com/config/latest/developerguide/codedeploy-lambda-allatonce-traffic-shift-disabled.html) | Garanta que o grupo de implantação da Lambda Compute Platform não esteja usando a configuração de implantação padrão. A regra é NON\_COMPLIANT se o grupo de implantação estiver usando a configuração de implantação '. CodeDeployDefault LambdaAllAtOnce'. | 
| 7.2.1 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 7.2.1 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 7.2.1 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 7.2.1 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 7.2.1 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 7.2.1 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 7.2.2 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 7.2.2 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 7.2.2 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 7.2.2 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 7.2.2 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 7.2.2 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 7.2.4 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido acessados dentro de um determinado número de dias. A regra é NON\_COMPLIANT se um segredo não tiver sido acessado no número 'unusedForDays' de dias. O valor padrão é 90 dias. | 
| 7.2.5 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 7.2.5 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 7.2.5 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 7.2.5 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 7.2.5 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 7.2.5 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 7.2.5.1 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido acessados dentro de um determinado número de dias. A regra é NON\_COMPLIANT se um segredo não tiver sido acessado no número 'unusedForDays' de dias. O valor padrão é 90 dias. | 
| 7.2.6 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 7.2.6 |  O acesso aos componentes e dados do sistema é definido e atribuído adequadamente. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 7.3.1 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 7.3.1 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 7.3.1 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 7.3.1 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 7.3.1 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 7.3.1 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 7.3.2 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 7.3.2 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 7.3.2 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 7.3.2 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 7.3.2 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 7.3.2 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 7.3.3 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 7.3.3 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 7.3.3 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 7.3.3 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 7.3.3 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 7.3.3 |  O acesso aos componentes e dados do sistema é gerenciado por meio de sistema(s) de controle de acesso. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 8.2.1 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.2.1 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON\_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | 
| 8.2.2 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.2.2 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON\_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | 
| 8.2.2 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | Certifique-se de que o projeto NÃO contenha variáveis de ambiente AWS\_ACCESS\_KEY\_ID e AWS\_SECRET \_ACCESS\_KEY. A regra será NON\_COMPLIANT quando as variáveis de ambiente do projeto contiverem credenciais em texto simples. | 
| 8.2.2 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados com sucesso de acordo com o cronograma de rotação. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON\_COMPLIANT se a data passar e o segredo não for alternado. | 
| 8.2.2 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados nos últimos dias especificados. A regra é NON\_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSince rotação. O valor padrão é 90 dias. | 
| 8.2.2 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido acessados dentro de um determinado número de dias. A regra é NON\_COMPLIANT se um segredo não tiver sido acessado no número 'unusedForDays' de dias. O valor padrão é 90 dias. | 
| 8.2.4 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.2.4 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON\_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | 
| 8.2.5 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.2.5 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON\_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | 
| 8.2.6 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido acessados dentro de um determinado número de dias. A regra é NON\_COMPLIANT se um segredo não tiver sido acessado no número 'unusedForDays' de dias. O valor padrão é 90 dias. | 
| 8.2.7 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 8.2.7 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 8.2.7 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.2.7 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 8.2.7 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 8.2.7 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [ec2-imdsv2-check](ec2-imdsv2-check.md) | Certifique-se de que sua versão de metadados de instância do Amazon Elastic Compute Cloud (Amazon EC2) esteja configurada com o Instance Metadata Service Version 2 (). IMDSv2 A regra é NON\_COMPLIANT se HttpTokens for definida como opcional. | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [autoscaling-launchconfig-requires-imdsv2](autoscaling-launchconfig-requires-imdsv2.md) | Certifique-se de que somente IMDSv2 esteja habilitado. Essa regra será NON\_COMPLIANT se a versão de metadados não estiver incluída na configuração de execução ou se os metadados V1 e V2 estiverem habilitados. | 
| 8.2.8 |  A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida das contas. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 8.3.10.1 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | Certifique-se de que as chaves de acesso ativas do IAM sejam rotacionadas (alteradas) dentro do número de dias especificado em maxAccessKey Idade. A regra será NON\_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | 
| 8.3.10.1 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados com sucesso de acordo com o cronograma de rotação. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON\_COMPLIANT se a data passar e o segredo não for alternado. | 
| 8.3.10.1 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados nos últimos dias especificados. A regra é NON\_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSince rotação. O valor padrão é 90 dias. | 
| 8.3.11 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.3.11 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [ec2-no-amazon-key-pair](ec2-no-amazon-key-pair.md) | Garanta que as instâncias do Amazon Elastic Compute Cloud (EC2) não tenham sido iniciadas por pares de chaves do Amazon. A regra será NON\_COMPLIANT se uma instância do EC2 em execução for iniciada com um par de chaves. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [athena-workgroup-encrypted-at-descanso](athena-workgroup-encrypted-at-rest.md) | Garanta que um grupo de trabalho do Amazon Athena esteja criptografado em repouso. A regra será NON\_COMPLIANT se a criptografia de dados em repouso não estiver habilitada para um grupo de trabalho do Athena. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [neptune-cluster-snapshot-encrypted](neptune-cluster-snapshot-encrypted.md) | Garanta que um cluster de banco de dados do Amazon Neptune tenha instantâneos criptografados. A regra será NON\_COMPLIANT se um cluster do Neptune não tiver instantâneos criptografados. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [redshift-cluster-kms-enabled](redshift-cluster-kms-enabled.md) | Certifique-se de que os clusters do Amazon Redshift estejam usando uma AWS chave específica do Key Management Service (AWS KMS) para criptografia. A regra é COMPATÍVEL se a criptografia estiver habilitada e o cluster for criptografado com a chave fornecida no kmsKeyArn parâmetro. A regra será NON\_COMPLIANT se o cluster não estiver criptografado ou foi criptografado com outra chave. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [codebuild-project-s3-logs-encrypted](codebuild-project-s3-logs-encrypted.md) | Certifique-se de que um AWS CodeBuild projeto configurado com o Amazon S3 Logs tenha a criptografia habilitada para seus registros. A regra é NON\_COMPLIANT se 'EncryptionDisabled' estiver definido como 'true' em um S3 de um projeto. LogsConfig CodeBuild  | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [dms-redis-tls-enabled](dms-redis-tls-enabled.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) para armazenamentos de dados do Redis estejam habilitados para TLS/SSL criptografia de dados comunicados com outros endpoints. A regra é NON\_COMPLIANT se a TLS/SSL criptografia não estiver habilitada. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [eks-secrets-encrypted](eks-secrets-encrypted.md) | Certifique-se de que os clusters do Amazon Elastic Kubernetes Service estejam configurados para ter segredos do Kubernetes AWS criptografados usando chaves do Key Management Service (KMS). | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [api-gw-cache-enablede criptografado](api-gw-cache-enabled-and-encrypted.md) | Garanta que todos os métodos nos estágios do Amazon API Gateway tenham o cache habilitado e o cache criptografado. A regra será NON\_COMPLIANT se qualquer método em um estágio do Amazon API Gateway não estiver configurado para armazenamento em cache ou se o cache não estiver criptografado. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [dynamodb-table-encrypted-kms](dynamodb-table-encrypted-kms.md) | Certifique-se de que a tabela do Amazon DynamoDB seja criptografada AWS com o Key Management Service (KMS). A regra é NON\_COMPLIANT se a tabela do Amazon DynamoDB não estiver criptografada com o KMS. AWS A regra também é NON\_COMPLIANT se a chave AWS KMS criptografada não estiver presente no parâmetro de entrada. kmsKeyArns  | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [codebuild-project-envvar-awscred-check](codebuild-project-envvar-awscred-check.md) | Certifique-se de que o projeto NÃO contenha variáveis de ambiente AWS\_ACCESS\_KEY\_ID e AWS\_SECRET \_ACCESS\_KEY. A regra será NON\_COMPLIANT quando as variáveis de ambiente do projeto contiverem credenciais em texto simples. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [eks-cluster-secrets-encrypted](eks-cluster-secrets-encrypted.md) | Certifique-se de que os clusters do Amazon EKS não estejam configurados para ter segredos do Kubernetes criptografados usando o KMS. AWS A regra será NON\_COMPLIANT se um cluster do EKS não tiver um encryptionConfig ou se encryptionConfig não tiver segredos como um recurso. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [kinesis-stream-encrypted](kinesis-stream-encrypted.md) | Garanta que os fluxos do Amazon Kinesis sejam criptografados em repouso com a criptografia do lado do servidor. A regra é NON\_COMPLIANT para um stream do Kinesis se '' não estiver presente. StreamEncryption | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [msk-in-cluster-node-require-tls](msk-in-cluster-node-require-tls.md) | Garanta que um cluster do Amazon MSK imponha criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON\_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [neptune-cluster-encrypted](neptune-cluster-encrypted.md) | Garanta que a criptografia de armazenamento esteja habilitada para seus clusters de banco de dados do Amazon Neptune. A regra será NON\_COMPLIANT se a criptografia de armazenamento não estiver habilitada. | 
| 8.3.2 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [dms-endpoint-ssl-configured](dms-endpoint-ssl-configured.md) | Certifique-se AWS de que os endpoints do Database Migration Service (AWS DMS) estejam configurados com uma conexão SSL. A regra é NON\_COMPLIANT se o AWS DMS não tiver uma conexão SSL configurada. | 
| 8.3.4 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [s3-bucket-blacklisted-actions-prohibited](s3-bucket-blacklisted-actions-prohibited.md) | Certifique-se de que uma política de bucket do Amazon Simple Storage Service (Amazon S3) não permita ações bloqueadas em nível de bucket e em nível de objeto em recursos no bucket para diretores de outras contas. AWS Por exemplo, a regra verifica se a política de bucket do Amazon S3 não permite que outra AWS conta execute nenhuma ação s3: GetBucket \* e s3: DeleteObject em qualquer objeto no bucket. A regra será NON\_COMPLIANT se as ações que estiverem na lista de proibições forem permitidas pela política de buckets do Amazon S3. | 
| 8.3.4 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [s3-bucket-policy-not-more-permissive](s3-bucket-policy-not-more-permissive.md) | Garanta que as políticas de bucket do Amazon Simple Storage Service (S3) não autorizem outras permissões entre contas que controlem a política de bucket do Amazon S3 que você fornece. | 
| 8.3.4 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [iam-policy-in-use](iam-policy-in-use.md) | Garanta que o ARN da política do IAM esteja vinculado a um usuário do IAM ou a um grupo com um ou mais usuários do IAM, ou um perfil do IAM com uma ou mais entidades confiáveis. | 
| 8.3.4 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [neptune-cluster-iam-database-authentication](neptune-cluster-iam-database-authentication.md) | Certifique-se de que um cluster do Amazon Neptune AWS tenha a autenticação de banco de dados Identity and Access Management (IAM) ativada. A regra será NON\_COMPLIANT se um cluster do Amazon Neptune não tiver a autenticação de banco de dados do IAM habilitada. | 
| 8.3.4 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [ec2-instance-profile-attached](ec2-instance-profile-attached.md) | Certifique-se de que uma instância do EC2 tenha um perfil AWS Identity and Access Management (IAM) anexado a ela. A regra será NON\_COMPLIANT se nenhum perfil do IAM estiver vinculado à instância do EC2. | 
| 8.3.4 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| 8.3.5 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | Certifique-se de que as chaves de acesso ativas do IAM sejam rotacionadas (alteradas) dentro do número de dias especificado em maxAccessKey Idade. A regra será NON\_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | 
| 8.3.5 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados com sucesso de acordo com o cronograma de rotação. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON\_COMPLIANT se a data passar e o segredo não for alternado. | 
| 8.3.5 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados nos últimos dias especificados. A regra é NON\_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSince rotação. O valor padrão é 90 dias. | 
| 8.3.7 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | Certifique-se de que as chaves de acesso ativas do IAM sejam rotacionadas (alteradas) dentro do número de dias especificado em maxAccessKey Idade. A regra será NON\_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | 
| 8.3.7 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados com sucesso de acordo com o cronograma de rotação. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON\_COMPLIANT se a data passar e o segredo não for alternado. | 
| 8.3.7 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados nos últimos dias especificados. A regra é NON\_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSince rotação. O valor padrão é 90 dias. | 
| 8.3.9 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | Certifique-se de que as chaves de acesso ativas do IAM sejam rotacionadas (alteradas) dentro do número de dias especificado em maxAccessKey Idade. A regra será NON\_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | 
| 8.3.9 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados com sucesso de acordo com o cronograma de rotação. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON\_COMPLIANT se a data passar e o segredo não for alternado. | 
| 8.3.9 |  Uma autenticação forte para usuários e administradores é estabelecida e gerenciada. (PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados nos últimos dias especificados. A regra é NON\_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSince rotação. O valor padrão é 90 dias. | 
| 8.4.1 |  A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE. (PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON\_COMPLIANT se o Exclusão de MFA não estiver habilitada. | 
| 8.4.2 |  A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE. (PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON\_COMPLIANT se o Exclusão de MFA não estiver habilitada. | 
| 8.4.3 |  A autenticação multifator (MFA) é implementada para proteger o acesso ao CDE. (PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON\_COMPLIANT se o Exclusão de MFA não estiver habilitada. | 
| 8.6.3 |  O uso de contas de aplicativos e do sistema e dos fatores de autenticação associados é estritamente gerenciado. (PCI-DSS-v4.0) | [access-keys-rotated](access-keys-rotated.md) | Certifique-se de que as chaves de acesso ativas do IAM sejam rotacionadas (alteradas) dentro do número de dias especificado em maxAccessKey Idade. A regra será NON\_COMPLIANT se as chaves de acesso não forem alternadas dentro do período especificado. O valor padrão é 90 dias. | 
| 8.6.3 |  O uso de contas de aplicativos e do sistema e dos fatores de autenticação associados é estritamente gerenciado. (PCI-DSS-v4.0) | [secretsmanager-scheduled-rotation-success-check](secretsmanager-scheduled-rotation-success-check.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados com sucesso de acordo com o cronograma de rotação. O Secrets Manager calcula a data em que a alternância deve acontecer. A regra será NON\_COMPLIANT se a data passar e o segredo não for alternado. | 
| 8.6.3 |  O uso de contas de aplicativos e do sistema e dos fatores de autenticação associados é estritamente gerenciado. (PCI-DSS-v4.0) | [secretsmanager-secret-periodic-rotation](secretsmanager-secret-periodic-rotation.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido alternados nos últimos dias especificados. A regra é NON\_COMPLIANT se um segredo não tiver sido alternado por mais do que o número de dias de maxDaysSince rotação. O valor padrão é 90 dias. | 
| A1.1.2 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON\_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | 
| A1.1.2 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| A1.1.2 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| A1.1.2 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| A1.1.2 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| A1.1.2 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON\_COMPLIANT se o Exclusão de MFA não estiver habilitada. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [api-gw-endpoint-type-verificar](api-gw-endpoint-type-check.md) | Certifique-se de que o Amazon API Gateway APIs seja do tipo especificado no parâmetro de regra 'endpointConfigurationType'. A regra retornará NON\_COMPLIANT se a API REST não corresponder ao tipo de endpoint configurado no parâmetro da regra. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [netfw-policy-default-action-fragment-packets](netfw-policy-default-action-fragment-packets.md) | Certifique-se de que uma política AWS de Firewall de Rede esteja configurada com uma ação padrão sem estado definida pelo usuário para pacotes fragmentados. A regra será NON\_COMPLIANT se a ação padrão sem estado para pacotes fragmentados não corresponder à ação padrão definida pelo usuário. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [eks-endpoint-no-public-access](eks-endpoint-no-public-access.md) | Garanta que o endpoint do Amazon Elastic Kubernetes Service (Amazon EKS) não esteja acessível ao público. A regra será NON\_COMPLIANT se o endpoint estiver acessível publicamente. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [restricted-ssh](restricted-ssh.md) | Observação: para essa regra, o identificador da regra (INCOMING\_SSH\_DISABLED) e o nome da regra (restricted-ssh) são diferentes. Garanta que o tráfego de entrada SSH dos grupos de segurança seja acessível. A regra será COMPLIANT se os endereços IP do tráfego de entrada SSH nos grupos de segurança forem restritos (CIDR diferente de 0.0.0.0/0 ou ::/0). Caso contrário, NON\_COMPLIANT. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [appsync-associated-with-waf](appsync-associated-with-waf.md) | Certifique-se de que AWS AppSync APIs estejam associados às listas de controle de acesso à AWS WAFv2 web (ACLs). A regra é NON\_COMPLIANT para uma AWS AppSync API se não estiver associada a uma ACL da web. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [codebuild-project-source-repo-url-check](codebuild-project-source-repo-url-check.md) | Garanta que o URL do repositório de origem do Bitbucket NÃO contenha credenciais de login ou não. A regra será NON\_COMPLIANT se o URL contiver alguma informação de login e COMPLIANT se não tiver. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [elb-acm-certificate-required](elb-acm-certificate-required.md) | Certifique-se de que os Classic Load Balancers usem certificados SSL fornecidos pelo AWS Certificate Manager. Para usar esta regra, use um listener SSL ou HTTPS com o Classic Load Balancer. Esta regra é aplicável somente aos Classic Load Balancers. Esta regra não verifica Application Load Balancers e Network Load Balancers. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [nacl-no-unrestricted-ssh-rdp](nacl-no-unrestricted-ssh-rdp.md) | Certifique-se de que as portas padrão para tráfego SSH/RDP de entrada para listas de controle de acesso à rede (NACLs) sejam restritas. A regra será NON\_COMPLIANT se uma entrada NACL permitir um bloco CIDR TCP ou UDP de origem para as portas 22 ou 3389. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [ec2-client-vpn-not-authorize-all](ec2-client-vpn-not-authorize-all.md) | Certifique-se de que as regras de autorização AWS do Client VPN não autorizem o acesso à conexão para todos os clientes. A regra é NON\_COMPLIANT se 'AccessAll' estiver presente e definida como verdadeira. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [internet-gateway-authorized-vpc-only](internet-gateway-authorized-vpc-only.md) | Garanta que os gateways da Internet estejam conectados a uma nuvem privada virtual autorizada (Amazon VPC). A regra será NON\_COMPLIANT se os gateways da Internet estiverem conectados a uma VPC não autorizada. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| A1.1.3 |  Os provedores de serviços multilocatários protegem e separam todos os ambientes e dados do cliente. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [api-gwv2-access-logs-enabled](api-gwv2-access-logs-enabled.md) | Garanta que os estágios do Amazon API Gateway V2 tenham o registro em log de acesso habilitado. A regra é NON\_COMPLIANT se 'accessLogSettings' não estiver presente na configuração do Stage. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [cloudtrail-security-trail-enabled](cloudtrail-security-trail-enabled.md) | Certifique-se de que haja pelo menos uma AWS CloudTrail trilha definida com as melhores práticas de segurança. Essa regra será COMPLIANT se houver pelo menos uma trilha que atenda a todos os seguintes itens: | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [neptune-cluster-cloudwatch-log-export-enabled](neptune-cluster-cloudwatch-log-export-enabled.md) | Certifique-se de que um cluster do Amazon Neptune CloudWatch tenha a exportação de registros habilitada para registros de auditoria. A regra é NON\_COMPLIANT se um cluster do Neptune não tiver CloudWatch a exportação de registros habilitada para registros de auditoria. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [ecs-task-definition-log-configuration](ecs-task-definition-log-configuration.md) | Garanta que o logConfiguration esteja configurado nas definições de tarefas do ECS ativas. Essa regra é NON\_COMPLIANT se uma ECSTask definição ativa não tiver o recurso LogConfiguration definido ou se o valor de LogConfiguration for nulo em pelo menos uma definição de contêiner. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [cloudtrail-enabled](cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (CLOUD\_TRAIL\_ENABLED) e o nome da regra (cloudtrail-enabled) são diferentes. Certifique-se de que uma AWS CloudTrail trilha esteja ativada em sua AWS conta. A regra será NON\_COMPLIANT, se uma trilha não estivar habilitada. Opcionalmente, a regra verifica um bucket do S3 específico, um tópico do Amazon Simple Notification Service (Amazon SNS) e um grupo de registros. CloudWatch  | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [multi-region-cloudtrail-enabled](multi-region-cloudtrail-enabled.md) | Observação: para essa regra, o identificador da regra (MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED) e o nome da regra () são diferentes. multi-region-cloudtrail-enabled Certifique-se de que haja pelo menos uma multirregião. AWS CloudTrail A regra será NON\_COMPLIANT se as trilhas não corresponderem aos parâmetros de entrada. A regra é NON\_COMPLIANT se o ExcludeManagementEventSources campo não estiver vazio ou se AWS CloudTrail estiver configurado para excluir eventos de gerenciamento, como eventos do AWS KMS ou eventos da API de dados do Amazon RDS. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [appsync-logging-enabled](appsync-logging-enabled.md) | Certifique-se de que uma AWS AppSync API tenha o registro ativado. A regra é NON\_COMPLIANT se o registro não estiver habilitado ou 'fieldLogLevel' não for ERROR nem ALL. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-logging-enabled](mq-cloudwatch-audit-logging-enabled.md) | Certifique-se de que os corretores do Amazon MQ tenham o registro de CloudWatch auditoria da Amazon ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [mq-cloudwatch-audit-log-enabled](mq-cloudwatch-audit-log-enabled.md) | Certifique-se de que um agente do Amazon MQ tenha o registro de CloudWatch auditoria ativado. A regra será NON\_COMPLIANT se um agente não tiver o registro em log de auditoria habilitado. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [eks-cluster-logging-enabled](eks-cluster-logging-enabled.md) | Garanta que um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está configurado com o registro em log habilitado. A regra será NON\_COMPLIANT se o registro em log dos clusters do Amazon EKS não estiver habilitado para todos os tipos de log. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [elastic-beanstalk-logs-to-cloudwatch](elastic-beanstalk-logs-to-cloudwatch.md) | Certifique-se de que os ambientes do AWS Elastic Beanstalk estejam configurados para enviar registros para o Amazon Logs. CloudWatch A regra é NON\_COMPLIANT se o valor de `StreamLogs` for falso. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [step-functions-state-machine-logging-enabled](step-functions-state-machine-logging-enabled.md) | Certifique-se de que AWS a máquina Step Functions tenha o registro ativado. A regra será NON\_COMPLIANT se uma máquina de estado não tiver o registro em log habilitado ou se a configuração de registro em log não estiver no nível mínimo fornecido. | 
| A1.2.1 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [netfw-logging-enabled](netfw-logging-enabled.md) | Certifique-se de que os firewalls do Firewall de AWS Rede tenham o registro ativado. A regra será NON\_COMPLIANT se o tipo de registro em log não estiver configurado. Você pode especificar qual tipo de registro em log você deseja que a regra verifique. | 
| A1.2.3 |  Os provedores de serviços multilocatários facilitam o registro e a resposta a incidentes para todos os clientes. (PCI-DSS-v4.0) | [security-account-information-provided](security-account-information-provided.md) | Certifique-se de ter fornecido informações de contato de segurança para os contatos AWS da sua conta. A regra será NON\_COMPLIANT se as informações de contato de segurança na conta não forem fornecidas. | 
| A3.2.5.1 |  O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | [macie-auto-sensitive-data-discovery-check](macie-auto-sensitive-data-discovery-check.md) | Garanta que a descoberta automatizada de dados confidenciais esteja habilitada para o Amazon Macie. A regra será NON\_COMPLIANT se a descoberta automatizada de dados confidenciais estiver desabilitada. A regra é APPLICABLE para contas de administrador e NOT\_APPLICABLE para contas de membros. | 
| A3.2.5.1 |  O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | [macie-status-check](macie-status-check.md) | Garanta que o Amazon Macie esteja habilitado em sua conta por região. A regra será NON\_COMPLIANT se o atributo "status" não estiver definido como "ENABLED". | 
| A3.2.5.2 |  O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | [macie-auto-sensitive-data-discovery-check](macie-auto-sensitive-data-discovery-check.md) | Garanta que a descoberta automatizada de dados confidenciais esteja habilitada para o Amazon Macie. A regra será NON\_COMPLIANT se a descoberta automatizada de dados confidenciais estiver desabilitada. A regra é APPLICABLE para contas de administrador e NOT\_APPLICABLE para contas de membros. | 
| A3.2.5.2 |  O escopo do PCI DSS está documentado e validado. (PCI-DSS-v4.0) | [macie-status-check](macie-status-check.md) | Garanta que o Amazon Macie esteja habilitado em sua conta por região. A regra será NON\_COMPLIANT se o atributo "status" não estiver definido como "ENABLED". | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | Certifique-se de que CloudWatch os alarmes com o nome da métrica fornecida tenham as configurações especificadas. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| A3.3.1 |  O PCI DSS é incorporado às atividades business-as-usual (BAU). (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 
| A3.4.1 |  O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | [neptune-cluster-snapshot-public-prohibited](neptune-cluster-snapshot-public-prohibited.md) | Garanta que um instantâneo manual do cluster de banco de dados do Amazon Neptune seja público. A regra será NON\_COMPLIANT se qualquer snapshot de cluster do Neptune novo e existente for público. | 
| A3.4.1 |  O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | [backup-recovery-point-manual-exclusão desativada](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) | Garanta que um cofre de backup tenha uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A regra não é compatível se o Backup Vault não tiver políticas baseadas em recursos ou tiver políticas sem uma declaração 'Negar' adequada (declaração com permissões de backup:DeleteRecoveryPoint, backup: e backup:UpdateRecoveryPointLifecycle). PutBackupVaultAccessPolicy  | 
| A3.4.1 |  O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | [emr-block-public-access](emr-block-public-access.md) | Garanta que uma conta com o Amazon EMR tenha configurações de bloqueio de acesso público habilitadas. A regra é NON\_COMPLIANT se BlockPublicSecurityGroupRules for falsa ou, se verdadeira, portas diferentes da Porta 22 estiverem listadas em. PermittedPublicSecurityGroupRuleRanges | 
| A3.4.1 |  O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | [secretsmanager-secret-unused](secretsmanager-secret-unused.md) | Certifique-se de que AWS os segredos do Secrets Manager tenham sido acessados dentro de um determinado número de dias. A regra é NON\_COMPLIANT se um segredo não tiver sido acessado no número 'unusedForDays' de dias. O valor padrão é 90 dias. | 
| A3.4.1 |  O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | [s3-access-point-public-access-blocks](s3-access-point-public-access-blocks.md) | Garanta que os pontos de acesso Amazon S3 tenham configurações do bloqueio do acesso público habilitadas. A regra será NON\_COMPLIANT se as configurações de bloqueio de acesso público não estiverem habilitadas para pontos de acesso S3. | 
| A3.4.1 |  O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | [s3-account-level-public-access-blocks](s3-account-level-public-access-blocks.md) | Garanta que as configurações de bloco de acesso público necessárias estão configuradas no nível da conta. A regra será somente NON\_COMPLIANT quando não houver a correspondência dos campos definidos abaixo com os campos correspondentes no item de configuração. | 
| A3.4.1 |  O acesso lógico ao ambiente de dados do titular do cartão é controlado e gerenciado. (PCI-DSS-v4.0) | [s3-bucket-mfa-delete-enabled](s3-bucket-mfa-delete-enabled.md) | Garanta que a Exclusão de MFA esteja habilitada na configuração do versionamento do bucket do Amazon Simple Storage Service (Amazon S3). A regra será NON\_COMPLIANT se o Exclusão de MFA não estiver habilitada. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [api-gw-xray-enabled](api-gw-xray-enabled.md) | Certifique-se de que o AWS X-Ray Tracing esteja ativado no Amazon API Gateway APIs REST. A regra será COMPLIANT se o rastreamento do X-Ray estiver habilitado e, caso contrário, será NON\_COMPLIANT. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [ec2-instance-detailed-monitoring-enabled](ec2-instance-detailed-monitoring-enabled.md) | Garanta que o monitoramento detalhado esteja habilitado para instâncias do EC2. A regra será NON\_COMPLIANT se o monitoramento detalhado não estiver habilitado. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [cloudwatch-alarm-action-check](cloudwatch-alarm-action-check.md) | Certifique-se de que CloudWatch os alarmes tenham uma ação configurada para o estado ALARM, INSUFFICIENT\_DATA ou OK. Opcionalmente, garanta que alguma ação corresponda a um ARN nomeado. A regra será NON\_COMPLIANT se não houver nenhuma ação especificada para o alarme ou parâmetro opcional. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [cloudwatch-alarm-resource-check](cloudwatch-alarm-resource-check.md) | Certifique-se de que um tipo de recurso tenha um CloudWatch alarme para a métrica nomeada. Para o tipo de recurso, você pode especificar volumes EBS, instâncias EC2, clusters do Amazon RDS ou buckets do S3. A regra é COMPATÍVEL se a métrica nomeada tiver um ID de recurso e um CloudWatch alarme. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [cloudwatch-alarm-settings-check](cloudwatch-alarm-settings-check.md) | Certifique-se de que CloudWatch os alarmes com o nome da métrica fornecida tenham as configurações especificadas. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [wafv2-rulegroup-logging-enabled](wafv2-rulegroup-logging-enabled.md) | Certifique-se de que a coleta CloudWatch de métricas de segurança da Amazon em grupos de AWS WAFv2 regras esteja ativada. A regra é NON\_COMPLIANT se o '. VisibilityConfig CloudWatchMetricsEnabledO campo 'está definido como falso. | 
| A3.5.1 |  Eventos suspeitos são identificados e respondidos. (PCI-DSS-v4.0) | [sns-topic-message-delivery-notification-enabled](sns-topic-message-delivery-notification-enabled.md) | Garanta que o registro em log do Amazon Simple Notification Service (SNS) esteja habilitado para o status de entrega das mensagens de notificação enviadas para um tópico para os endpoints. A regra será NON\_COMPLIANT se a notificação do status de entrega das mensagens não estiver habilitada. | 

## Modelo
<a name="operational-best-practices-for-pci-dss-v4-excluding-global-resource-types-conformance-pack-sample"></a>

O modelo está disponível em GitHub: [Melhores práticas operacionais para PCI DSS 4.0 (excluindo tipos de recursos globais](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml)).