As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de segurança no AMS Accelerate
O AWS Managed Services usa vários controles para proteger seus ativos de informação e ajudar você a manter sua AWS infraestrutura segura. O AMS Accelerate mantém uma biblioteca de Regras do AWS Config ações de remediação para garantir que todas as suas contas estejam em conformidade com os padrões do setor de segurança e integridade operacional. Regras do AWS Config rastreia continuamente a alteração de configuração entre seus recursos gravados. Se uma alteração violar qualquer condição de regra, o AMS relata suas descobertas e permite que você corrija as violações automaticamente ou mediante solicitação, de acordo com a gravidade da violação. Regras do AWS Config facilitar a conformidade com os padrões estabelecidos por: o Center for Internet Security (CIS), o Cloud Security Framework (CSF) do National Institute of Standards and Technology (NIST), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI).
Além disso, o AMS utiliza GuardDuty a Amazon para identificar atividades potencialmente não autorizadas ou maliciosas em seu AWS ambiente. O AMS monitora GuardDuty as descobertas 24x7. A AMS colabora com você para entender o impacto das descobertas e identificar a remediação com base nas recomendações de melhores práticas. O AMS também usa o Amazon Macie para proteger seus dados confidenciais, como informações pessoais de saúde (PHI), informações de identificação pessoal (PII) e dados financeiros.
**nota**
O Amazon Macie é um serviço opcional e não está habilitado por padrão.
O AMS Accelerate fornece uma variedade de serviços operacionais para ajudá-lo a alcançar a excelência operacional em AWS. [Para saber mais sobre como o AMS ajuda suas equipes a alcançar a excelência operacional geral Nuvem AWS com os principais recursos operacionais do AMS, incluindo suporte técnico 24 horas por dia, 7 dias por semana, monitoramento proativo, segurança, aplicação de patches, registro e backup, consulte Diagramas de arquitetura de referência do AMS.](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/AWS-managed-services-for-operational-excellence-ra.pdf)
**Topics**
+ [
# Use o documento Log4j SSM para descobrir ocorrências no Accelerate
](acc-lm-log4j.md)
+ [
# Monitoramento da segurança da infraestrutura no AMS
](acc-sec-infra-sec.md)
+ [
# Proteção de dados no Accelerate
](acc-sec-data-protect.md)
+ [
# AWS Identity and Access Management no AMS Accelerate
](acc-sec-iam.md)
+ [
# Resposta a incidentes de segurança no AMS
](security-incident-response.md)
+ [
# Registro e monitoramento de eventos de segurança no Accelerate
](acc-sec-log-mon.md)
+ [
# Conformidade de configuração no Accelerate
](acc-sec-compliance.md)
+ [
# Resposta a incidentes no Accelerate
](acc-sec-incident.md)
+ [
# Resiliência em aceleração
](acc-sec-resilience.md)
+ [
# Controle de segurança para sistemas end-of-support operacionais
](ams-eos-sec-controls-os.md)
+ [
# Melhores práticas de segurança no Accelerate
](acc-sec-best-practice.md)
+ [
# Revisões de segurança da solicitação de alteração
](acc-sec-change-request-review.md)
+ [
# Perguntas frequentes sobre segurança
](security-access-faq.md)
# Use o documento Log4j SSM para descobrir ocorrências no Accelerate
O documento Log4j ( AWS Systems Manager documento SSM) ajuda você a pesquisar a biblioteca Apache Log4j2 nas cargas de trabalho ingeridas. O documento de automação fornece um relatório do ID do processo dos aplicativos Java nos quais a biblioteca Log4j2 está ativa.
O relatório inclui informações sobre os arquivos Java (arquivos JAR), encontrados no ambiente especificado que contém a JndiLookup classe. É uma prática recomendada atualizar as bibliotecas descobertas para a versão mais recente disponível. Essa atualização atenua a Execução Remota de Código (RCE) identificada por meio do CVE-2021-44228. Baixe a versão mais recente da biblioteca Log4j do Apache. Para obter mais informações, consulte [Baixar o Apache Log4j 2](https://logging.apache.org/log4j/2.x/download.html).
O documento é compartilhado com todas as regiões integradas ao Accelerate,. Para acessar o documento, conclua as seguintes etapas:
1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Documents**.
1. Escolha **Compartilhado comigo**.
1. Na caixa de pesquisa, insira **AWSManagedServices-GatherLog4jInformation**.
1. Use o [controle de taxa](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-working-targets-and-rate-controls.html) para executar o documento em grande escala.
O documento AWSManagedServices-GatherLog 4JInformation reúne os seguintes parâmetros:
+ **InstanceId**: (Obrigatório) ID da sua EC2 instância.
+ **S3Bucket**: (Opcional) O URL pré-assinado do S3 ou o URI do S3 (s3://BUCKET\$1NAME) para o qual carregar os resultados.
+ ** AutomationAssumeRole**: (Obrigatório) O ARN da função que permite que a automação execute ações em seu nome.
É uma prática recomendada executar este documento usando o controle de taxa. Você pode definir o parâmetro de controle de taxa como o. **InstanceId**e atribuir uma lista de instâncias a ele ou aplicar uma combinação de tag-chave para atingir todas as EC2 instâncias que têm uma determinada tag. O AWS Managed Services também recomenda que você forneça um bucket do Amazon Simple Storage Service (Amazon S3) para fazer o upload dos resultados, para que você possa criar um relatório a partir dos dados armazenados no S3. Para ver um exemplo de como agregar os resultados no S3, consulte [EC2 Instance Stack \$1 Gather](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-ec2-instance-stack-gather-log4j-information.html) Log4j Information.
Se você não conseguir atualizar o pacote, siga as diretrizes descritas em AWS Segurança em [Usando serviços de AWS segurança para proteger, detectar e responder à vulnerabilidade do Log4j](https://aws.amazon.com/blogs/security/using-aws-security-services-to-protect-against-detect-and-respond-to-the-log4j-vulnerability/). Para mitigar vulnerabilidades removendo a funcionalidade da JndiLookup classe, execute o hot patch Log4j em linha com seus aplicativos Java. Para obter mais informações sobre o hot patch, consulte [Hotpatch para Apache](https://aws.amazon.com/fr/blogs/opensource/hotpatch-for-apache-log4j/) Log4j.
Em caso de dúvidas sobre o resultado da automação ou sobre como proceder com mitigações adicionais, envie uma solicitação de serviço.
# Monitoramento da segurança da infraestrutura no AMS
Quando você se integra ao AMS Accelerate, AWS implanta a seguinte infraestrutura AWS Config básica e o conjunto de regras, o AMS Accelerate usa essas regras para monitorar suas contas.
+ **AWS Config função vinculada ao serviço**: o AMS Accelerate implanta a função vinculada ao serviço chamada **AWSServiceRoleForConfig**, que é usada AWS Config para consultar o status de outros serviços. AWS A função **AWSServiceRoleForConfig**vinculada ao serviço confia no AWS Config serviço para assumir a função. A política de permissões para a **AWSServiceRoleForConfig**função contém permissões somente leitura e somente gravação em recursos e permissões somente leitura para AWS Config recursos em outros serviços que oferecem suporte. AWS Config Se você já tem uma função configurada com o AWS Config Recorder, o AMS Accelerate valida se a função existente tem uma política gerenciada do AWS Config anexada. Caso contrário, o AMS Accelerate substitui a função pela função vinculada ao serviço. **AWSServiceRoleForConfig**
+ **AWS Config gravador e canal de entrega**: AWS Config usa o gravador de configuração para detectar alterações em suas configurações de recursos e capturar essas alterações como itens de configuração. O AMS Accelerate implanta o gravador de configuração em todos os serviços Regiões da AWS, com gravação contínua de todos os recursos. O AMS Accelerate também cria o canal de entrega de configuração, um bucket do Amazon S3, que é usado para registrar as alterações que ocorrem em AWS seus recursos. O gravador de configuração atualiza os estados de configuração por meio do canal de entrega. O gravador de configuração e o canal de entrega são necessários AWS Config para funcionar. O AMS Accelerate cria o gravador em tudo Regiões da AWS e um canal de entrega em um único Região da AWS. Se você já tem um gravador e um canal de entrega em um Região da AWS, o AMS Accelerate não exclui os AWS Config recursos existentes. Em vez disso, o AMS Accelerate usa seu gravador e canal de entrega existentes depois de validar se eles estão configurados corretamente. Para obter mais informações sobre como reduzir AWS Config custos, consulte[Reduza AWS Config custos no Accelerate](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend).
+ **AWS Config regras**: O AMS Accelerate mantém uma biblioteca de Regras do AWS Config ações de remediação para ajudá-lo a cumprir os padrões do setor de segurança e integridade operacional. Regras do AWS Config rastreia continuamente as alterações de configuração entre seus recursos registrados. Se uma alteração violar qualquer condição de regra, o AMS relata suas descobertas e permite que você corrija as violações automaticamente ou mediante solicitação, de acordo com a gravidade da violação. Regras do AWS Config facilitar a conformidade com os padrões estabelecidos por: o Center for Internet Security (CIS), o Cloud Security Framework (CSF) do National Institute of Standards and Technology (NIST), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI).
+ **AWS Config autorização de agregador**: um agregador é um tipo de AWS Config recurso que coleta dados de AWS Config configuração e conformidade de várias contas e várias regiões. O AMS Accelerate integra sua conta a um agregador de configuração a partir do qual o AMS Accelerate agrega as informações de configuração de recursos da sua conta e os dados de conformidade de configuração e gera o relatório de conformidade. Se houver agregadores existentes configurados na conta de propriedade da AMS, o AMS Accelerate implanta um agregador adicional e o agregador existente não será modificado.
**nota**
O agregador Config não está configurado em suas contas; em vez disso, ele está configurado em contas de propriedade da AMS e suas contas são integradas a ele.
Para saber mais sobre AWS Config, consulte:
+ AWS Config: [O que é Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)?
+ Regras do AWS Config: [Avaliando recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ Regras do AWS Config: Verificação [dinâmica de conformidade: Regras do AWS Config — Verificação dinâmica de conformidade para recursos de nuvem](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Agregador: agregação de dados [multirregional de várias contas](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
Para obter informações sobre relatórios, consulte[AWS Config Relatório de conformidade de controle](acc-report-config-control-compliance.md).
# Usando funções vinculadas a serviços para o AMS Accelerate
O AMS Accelerate usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço (SLR) é um tipo exclusivo de função do IAM vinculada diretamente ao AMS Accelerate. As funções vinculadas ao serviço são predefinidas pelo AMS Accelerate e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do AMS Accelerate porque você não precisa adicionar manualmente as permissões necessárias. O AMS Accelerate define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o AMS Accelerate pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Função vinculada ao serviço do kit de ferramentas de implantação para o AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada **AWSServiceRoleForAWSManagedServicesDeploymentToolkit**— essa função implanta a infraestrutura do AMS Accelerate nas contas dos clientes.
**nota**
Esta política foi atualizada recentemente; para obter detalhes, consulte[Acelere as atualizações de funções vinculadas a serviços](#slr-updates).
### Kit de ferramentas de implantação do AMS Accelerate SLR
A função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `deploymenttoolkit.managedservices.amazonaws.com`
A política nomeada [AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy)permite que o AMS Accelerate execute ações nos seguintes recursos:
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`
Essa SLR concede ao Amazon S3 permissões para criar e gerenciar o bucket de implantação usado pelo AMS para carregar recursos, CloudFormation como modelos ou pacotes de ativos Lambda, na conta para implantações de componentes. Essa SLR concede CloudFormation permissões para implantar a CloudFormation pilha que define os buckets de implantação. Para obter detalhes ou fazer o download da política, consulte [AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy).
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para ter mais informações, consulte [Permissões de função vinculada a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
### Criação de um kit de ferramentas de implantação SLR para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 09 de junho de 2022, quando ele começou a oferecer suporte a funções vinculadas ao serviço. Depois, o AMS Accelerate criou a AWSService RoleFor AWSManaged ServicesDeploymentToolkit função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando um kit de ferramentas de implantação SLR para AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo um kit de ferramentas de implantação SLR para AMS Accelerate
Você não precisa excluir manualmente a AWSService RoleFor AWSManaged ServicesDeploymentToolkit função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSService RoleFor AWSManaged ServicesDeploymentToolkit serviço**
Exclua a `ams-cdk-toolkit` pilha de todas as regiões às quais sua conta foi integrada no AMS (talvez seja necessário esvaziar manualmente os buckets do S3 primeiro).
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no Guia do usuário do *IAM*.
## Detective controla a função vinculada ao serviço do AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**— O AWS Managed Services usa essa função vinculada ao serviço para implantar gravador de configuração, regras de configuração e controles de detetive de bucket do S3.
[A seguinte política gerenciada está **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**anexada à função vinculada ao serviço: AWSManagedServices\$1DetectiveControlsConfig \$1. ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig) Para obter atualizações dessa política, consulte [Acelere as atualizações das políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Permissões para controles de detetive SLR para AMS Accelerate
A função AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `detectivecontrols.managedservices.amazonaws.com`
Anexada a essa função está a política `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS gerenciada (consulte [AWS política gerenciada: AWSManagedServices\$1DetectiveControlsConfig \$1 ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig) O serviço usa a função para criar a configuração do AMS Detective Controls em sua conta), o que requer a implantação de recursos como buckets s3, regras de configuração e um agregador. Você deve configurar permissões para permitir que uma entidade do IAM (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte [Permissões de função vinculadas ao serviço no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) do usuário do *AWS Identity and Access Management*.
### Criando uma SLR de controle de detetive para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 09 de junho de 2022, quando ele começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices\$1DetectiveControlsConfig função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando uma SLR de controles de detetive para AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo uma SLR de controles de detetive para AMS Accelerate
Você não precisa excluir manualmente a AWSServiceRoleForManagedServices\$1DetectiveControlsConfig função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices\$1DetectiveControlsConfig serviço**
`ams-detective-controls-config-recorder`Exclua `ams-detective-controls-config-rules-cdk` e `ams-detective-controls-infrastructure-cdk` acumule pilhas de todas as regiões às quais sua conta foi integrada no AMS (talvez seja necessário esvaziar manualmente os buckets do S3 primeiro).
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculada ao serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Função vinculada ao serviço de EventBridge regras da Amazon para o AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada. **AWSServiceRoleForManagedServices\$1Events** Essa função confia em um dos diretores de serviços do AWS Managed Services (events.managedservices.amazonaws.com) para assumir a função para você. O serviço usa a função para criar a regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária em sua conta da AWS para entregar informações de alteração do estado de alarme da sua conta para o AWS Managed Services.
### Permissões para EventBridge SLR for AMS Accelerate
A função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `events.managedservices.amazonaws.com`
A política `AWSManagedServices_EventsServiceRolePolicy` AWS gerenciada está anexada a essa função (consulte[AWS política gerenciada: AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy)). O serviço usa a função para fornecer informações de alteração do estado do alarme da sua conta para o AMS. Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões da função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do AWS Identity and Access Management *.
Você pode baixar o JSON AWSManagedServices\$1EventsServiceRolePolicy neste ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip).
### Criação de uma EventBridge SLR para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 7 de fevereiro de 2023, quando começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices\$1Events função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando uma EventBridge SLR para o AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo uma EventBridge SLR para o AMS Accelerate
Você não precisa excluir manualmente a AWSServiceRoleForManagedServices\$1Events função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices\$1Events serviço**
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Função vinculada ao serviço de contatos do AMS Accelerate
O AMS Accelerate usa a função vinculada ao serviço (SLR) chamada **AWSServiceRoleForManagedServices\$1Contacts**— Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o serviço leia as tags existentes do recurso afetado e recupere o e-mail configurado do ponto de contato apropriado.
Esse é o único serviço que usa essa função vinculada ao serviço.
Anexada à função **AWSServiceRoleForManagedServices\$1Contacts**vinculada ao serviço está a seguinte política gerenciada:. [AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy) Para obter atualizações dessa política, consulte [Acelere as atualizações das políticas AWS gerenciadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Permissões para contatos SLR para AMS Accelerate
A função AWSServiceRoleForManagedServices\$1Contacts vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `contacts-service.managedservices.amazonaws.com`
Anexada a essa função está a política gerenciada da `AWSManagedServices_ContactsServiceRolePolicy` AWS (consulte[AWS política gerenciada: AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy)). O serviço usa a função para ler as tags em qualquer AWS recurso e encontrar o e-mail contido na tag, do ponto de contato apropriado para quando ocorrerem incidentes. Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o AMS leia essa tag em um recurso afetado e recupere o e-mail. Para obter mais informações, consulte [Permissões de função vinculadas ao serviço no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) do usuário do *AWS Identity and Access Management*.
**Importante**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. O AMS usa tags para fornecer serviços administrativos. As tags não devem ser usadas para dados privados ou confidenciais.
A política de permissões de função nomeada AWSManagedServices\$1ContactsServiceRolePolicy permite que o AMS Accelerate conclua as seguintes ações nos recursos especificados:
+ Ação: permite que o Serviço de Contatos leia as tags especificamente configuradas para conter o e-mail para que o AMS envie notificações de incidentes em qualquer recurso da AWS.
Você pode baixar o JSON AWSManagedServices\$1ContactsServiceRolePolicy neste ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip).
### Criando uma SLR de contatos para o AMS Accelerate
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Accelerate antes de 16 de fevereiro de 2023, quando começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices\$1Contacts função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Accelerate cria a função vinculada ao serviço para você novamente.
### Editando uma SLR de contatos para o AMS Accelerate
O AMS Accelerate não permite que você edite a função AWSServiceRoleForManagedServices\$1Contacts vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
### Excluindo uma SLR de contatos para o AMS Accelerate
Você não precisa excluir manualmente a AWSServiceRoleForManagedServices\$1Contacts função. Quando você desconecta do AMS na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o AMS Accelerate limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Accelerate estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do AMS Accelerate usados pela função vinculada ao AWSServiceRoleForManagedServices\$1Contacts serviço**
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices\$1Contacts vinculada ao serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas pelas funções vinculadas ao serviço do AMS Accelerate
O AMS Accelerate oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
## Acelere as atualizações de funções vinculadas a serviços
Veja detalhes sobre as atualizações das funções vinculadas ao serviço do Accelerate desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [Histórico de documentos do Guia do usuário do AMS Accelerate](doc-history.md) página Accelerate.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Política atualizada — Kit [de ferramentas de implantação](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 4 de abril de 2024 |
| Política atualizada — Kit [de ferramentas de implantação](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 09 de maio de 2023 |
| Política atualizada — [Detective Controls](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 10 de abril de 2023 |
| Política atualizada — [Detective Controls](#slr-deploy-detect-controls) | Atualizou a política e adicionou a política de limite de permissões. | 21 de março de 2023 |
| [Nova função vinculada ao serviço — Contacts SLR](#slr-contacts-service) | O Accelerate adicionou uma nova função vinculada ao serviço de Contatos. Essa função facilita as notificações automatizadas quando ocorrem incidentes, permitindo que o serviço leia as tags existentes do recurso afetado e recupere o e-mail configurado do ponto de contato apropriado. | 16 de fevereiro de 2023 |
| Nova função vinculada ao serviço — [EventBridge](#slr-evb-rule) | O Accelerate adicionou uma nova função vinculada a serviços para uma regra da Amazon EventBridge . Essa função confia em um dos diretores de serviços do AWS Managed Services (events.managedservices.amazonaws.com) para assumir a função para você. O serviço usa a função para criar a regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária em sua conta da AWS para entregar informações de alteração do estado de alarme da sua conta para o AWS Managed Services. | 7 de fevereiro de 2023 |
| [Função vinculada ao serviço atualizada — Kit de ferramentas de implantação](#slr-deploy-acc) | Acelere a atualização AWSService RoleFor AWSManaged ServicesDeploymentToolkit com as novas permissões do S3. Essas novas permissões foram adicionadas: "s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
| 30 de janeiro de 2023 |
| Acelere o início do rastreamento de alterações | A Accelerate começou a monitorar as mudanças em suas funções vinculadas a serviços. | 30 de novembro de 2022 |
| [Nova função vinculada a serviços — Detective Controls](#slr-deploy-detect-controls) | O Accelerate adicionou uma nova função vinculada ao serviço para implantar os controles de detetive do Accelerate. O AWS Managed Services usa essa função vinculada ao serviço para implantar gravador de configuração, regras de configuração e controles de detetive de bucket do S3. | 13 de outubro de 2022 |
| [Nova função vinculada ao serviço — Kit de ferramentas de implantação](#slr-deploy-acc) | O Accelerate adicionou uma nova função vinculada a serviços para implantar a infraestrutura do Accelerate. essa função implanta a infraestrutura do AMS Accelerate nas contas dos clientes. | 9 de junho de 2022 |
# AWS políticas gerenciadas para o AMS Accelerate
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Manual do usuário do IAM*.
Para obter uma tabela de alterações, consulte[Acelere as atualizações das políticas AWS gerenciadas](#security-iam-awsmanpol-updates).
## AWS política gerenciada: AWSManagedServices\$1AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) usa a política `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS gerenciada. Essa política AWS gerenciada é usada no AWSManagedServices\$1AlarmManager \$1 ServiceRolePolicy para restringir as permissões das funções do IAM criadas por AWSServiceRoleForManagedServices\$1AlarmManager.
Essa política concede funções do IAM criadas como parte de[Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work), permissões para realizar operações como avaliação de AWS configuração, leitura de configuração para buscar a AWS configuração do Alarm Manager e criação dos alarmes necessários da Amazon. CloudWatch
A `AWSManagedServices_AlarmManagerPermissionsBoundary` política é anexada à função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço. Para atualizações dessa função, consulte[Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates).
É possível anexar essa política às suas identidades do IAM.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `AWS Config`— Permite permissões para avaliar as regras de configuração e selecionar a configuração do recurso.
+ `AWS AppConfig`— Permite permissões para buscar a AlarmManager configuração.
+ `Amazon S3`— Permite permissões para operar AlarmManager buckets e objetos.
+ `Amazon CloudWatch`— Permite permissões para ler e colocar alarmes e métricas AlarmManager gerenciados.
+ `AWS Resource Groups and Tags`— Permite permissões para ler tags de recursos.
+ `Amazon EC2`— Permite permissões para ler EC2 recursos da Amazon.
+ `Amazon Redshift`— Permite permissões para ler instâncias e clusters do Redshift.
+ `Amazon FSx`— Permite permissões para descrever sistemas de arquivos, volumes e tags de recursos.
+ `Amazon CloudWatch Synthetics`— Permite permissões para ler recursos do Synthetics.
+ `Amazon Elastic Kubernetes Service`— Permite permissões para descrever o cluster Amazon EKS.
+ `Amazon ElastiCache`— Permite permissões para descrever recursos.
Você pode baixar o arquivo de política neste ZIP: [RecommendedPermissionBoundary.zip.](samples/RecommendedPermissionBoundary.zip)
## AWS política gerenciada: AWSManagedServices\$1DetectiveControlsConfig \$1 ServiceRolePolicy
AWS Managed Services (AMS) usa a política `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS gerenciada. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço](using-service-linked-roles.html#slr-deploy-detect-controls) (consulte). [Detective controla a função vinculada ao serviço do AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls) Para atualizações da função `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
A política permite que a função vinculada ao serviço realize ações em seu nome.
Você pode anexar a ServiceRolePolicy política AWSManagedServices\$1DetectiveControlsConfig \$1 às suas entidades do IAM.
Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.
+ `CloudFormation`— Permite que o AMS Detective Controls implante CloudFormation pilhas com recursos como buckets s3, regras de configuração e gravador de configuração.
+ `AWS Config`— Permite que o AMS Detective Controls crie regras de configuração do AMS, configure um agregador e marque recursos.
+ `Amazon S3`— permite que o AMS Detective Controls gerencie seus buckets s3.
Você pode baixar o arquivo de política JSON neste ZIP: [DetectiveControlsConfig\$1 ServiceRolePolicy .zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip).
## AWS política gerenciada: AWSManaged ServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) usa a política `AWSManagedServicesDeploymentToolkitPolicy` AWS gerenciada. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForAWSManagedServicesDeploymentToolkit` vinculada ao serviço](using-service-linked-roles.html#slr-deploy-acc) (consulte). [Função vinculada ao serviço do kit de ferramentas de implantação para o AMS Accelerate](using-service-linked-roles.md#slr-deploy-acc) A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
Para atualizações da função `AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que o AWS Managed Services Detective Controls implante e configure todos os recursos necessários.
+ `CloudFormation`— Permite que o AMS Deployment Toolkit implante pilhas CFN com os recursos do S3 exigidos pelo CDK.
+ `Amazon S3`— permite que o AMS Deployment Toolkit gerencie seus buckets S3.
+ `Elastic Container Registry`— permite que o AMS Deployment Toolkit gerencie seu repositório ECR, usado para implantar os ativos necessários aos aplicativos AMS CDK.
Você pode baixar o arquivo de política JSON neste ZIP: [AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip).
## AWS política gerenciada: AWSManagedServices\$1EventsServiceRolePolicy
AWS Managed Services (AMS) usa a política gerenciada `AWSManagedServices_EventsServiceRolePolicy` da AWS. Essa política AWS gerenciada é anexada à função vinculada ao [`AWSServiceRoleForManagedServices_Events`serviço](using-service-linked-roles.html#slr-evb-rule). A política permite que a função vinculada ao serviço realize ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
Para atualizações da função `AWSServiceRoleForManagedServices_Events` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que EventBridge a Amazon entregue informações de alteração do estado de alarme da sua conta para o AWS Managed Services.
+ `events`— Permite que o Accelerate crie uma regra EventBridge gerenciada pela Amazon. Essa regra é a infraestrutura necessária Conta da AWS para fornecer informações de alteração do estado de alarme de sua conta para AWS Managed Services.
Você pode baixar o arquivo de política JSON neste ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip).
## AWS política gerenciada: AWSManagedServices\$1ContactsServiceRolePolicy
AWS Managed Services (AMS) usa a política gerenciada `AWSManagedServices_ContactsServiceRolePolicy` da AWS. Essa política AWS gerenciada é anexada à [função `AWSServiceRoleForManagedServices_Contacts` vinculada ao serviço](using-service-linked-roles.html#slr-contacts-service) (consulte). [Criando uma SLR de contatos para o AMS Accelerate](using-service-linked-roles.md#slr-contacts-service-create) A política permite que a SLR de contatos do AMS veja suas tags de recursos e seus valores nos recursos da AWS. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte [Usando funções vinculadas a serviços para o AMS Accelerate](using-service-linked-roles.md).
**Importante**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. O AMS usa tags para fornecer serviços administrativos. As tags não devem ser usadas para dados privados ou confidenciais.
Para atualizações da função `AWSServiceRoleForManagedServices_Contacts` vinculada ao serviço, consulte. [Acelere as atualizações de funções vinculadas a serviços](using-service-linked-roles.md#slr-updates)
**Detalhes das permissões**
Essa política tem as seguintes permissões para permitir que a SLR de contatos leia suas tags de recursos para recuperar as informações de contato do recurso que você configurou com antecedência.
+ `IAM`— Permite que o serviço de contatos veja as tags nas funções do IAM e nos usuários do IAM.
+ `Amazon EC2`— Permite que o serviço de contatos veja as tags nos EC2 recursos da Amazon.
+ `Amazon S3`— Permite que o Contacts Service veja as tags nos buckets do Amazon S3. Essa ação usa uma condição para garantir que o AMS acesse suas tags de bucket usando o cabeçalho de autorização HTTP, usando o protocolo de assinatura SigV4 e usando HTTPS com TLS 1.2 ou superior. Para obter mais informações, consulte [Métodos de autenticação](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro) e chaves de [política específicas de autenticação do Amazon S3 Signature versão 4](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html).
+ `Tag`— Permite que o serviço de contatos veja as tags em outros AWS recursos.
+ “iam: ListRoleTags “, “iam: ListUserTags “, “tag: GetResources “, “tag: GetTagKeys “, “tag: GetTagValues “, “ec2: DescribeTags “, “s3:” GetBucketTagging
Você pode baixar o arquivo de política JSON neste ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip).
## Acelere as atualizações das políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Accelerate desde que esse serviço começou a monitorar essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 4 de abril de 2024 |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 9 de maio de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 10 de abril de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | A `ListAttachedRolePolicies` ação é removida da política. A ação tinha Recurso como curinga (\$1). Como a “lista” é uma ação não mutativa, ela tem acesso a todos os recursos e o curinga não é permitido. | 28 de março de 2023 |
| Política atualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Atualizou a política e adicionou a política de limite de permissões. | 21 de março de 2023 |
| Nova política — [Serviço de contatos](#ContactsServiceManagedPolicy) | O Accelerate adicionou uma nova política para analisar as informações de contato da sua conta a partir das tags de recursos. O Accelerate adicionou uma nova política para ler suas tags de recursos para que possa recuperar as informações de contato do recurso que você configurou com antecedência. | 16 de fevereiro de 2023 |
| Nova política — [Serviço de Eventos](#EventsServiceRolePolicy) | A Accelerate adicionou uma nova política para fornecer informações de alteração do estado de alarme da sua conta para o AWS Managed Services. Concede funções do IAM criadas como parte das [Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) permissões para criar uma regra EventBridge gerenciada necessária pela Amazon. | 07 de fevereiro de 2023 |
| Política atualizada — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Foram adicionadas permissões do S3 para apoiar a saída de clientes do Accelerate. | 30 de janeiro de 2023 |
| Nova política — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Permite que a função vinculada ao serviço,[Detective controla a função vinculada ao serviço do AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls), conclua ações para que você implante os controles de detetive do Accelerate. | 19 de dezembro de 2022 |
| Nova política — [Gerenciador de alarmes](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | O Accelerate adicionou uma nova política para permitir permissões para realizar tarefas do gerenciador de alarmes. Concede funções do IAM criadas como parte das [Como funciona o Gerenciador de alarmes](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) permissões para realizar operações como avaliação do AWS Config, leitura do AWS Config para obter a configuração do gerenciador de alarmes e criação dos alarmes necessários da Amazon. CloudWatch | 30 de novembro de 2022 |
| Acelere o início do rastreamento de alterações | A Accelerate começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 30 de novembro de 2022 |
| Nova política — Kit [de ferramentas de implantação](#security-iam-awsmanpol-DeploymentToolkitPolicy) | O Accelerate adicionou essa política para tarefas de implantação. Concede à função vinculada ao serviço [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)permissões para acessar e atualizar buckets e pilhas do Amazon S3 relacionados à implantação. CloudFormation | 9 de junho de 2022 |
# Proteção de dados no Accelerate
O AMS Accelerate utiliza ferramentas e processos nativos GuardDuty, Serviços da AWS como Amazon, Amazon Macie (opcionalmente) e outras ferramentas e processos proprietários internos, para monitorar continuamente suas contas gerenciadas. Depois que um alarme é acionado, o AMS Accelerate assume a responsabilidade pela triagem inicial e pela resposta ao alarme. Os processos de resposta do AMS são baseados nos padrões do NIST. O AMS Accelerate testa regularmente os processos de resposta usando a Simulação de Resposta a Incidentes de Segurança com você para alinhar seu fluxo de trabalho aos programas existentes de resposta de segurança do cliente.
Quando o AMS Accelerate detecta uma violação ou ameaça iminente de violação de suas políticas de AWS segurança, o Accelerate coleta informações, incluindo recursos afetados e quaisquer alterações relacionadas à configuração. O AMS Accelerate fornece follow-the-sun suporte 24 horas por dia, 7 dias por semana, 365 dias por ano, com operadores dedicados que analisam e investigam ativamente painéis de monitoramento, filas de incidentes e solicitações de serviço em todas as suas contas gerenciadas. O Accelerate investiga as descobertas com especialistas internos em segurança para analisar a atividade e notificá-lo por meio dos contatos de escalonamento de segurança listados em sua conta.
Com base nas descobertas, o Accelerate interage proativamente com você. Se você achar que a atividade não é autorizada ou suspeita, a AMS trabalha com você para investigar, corrigir ou conter o problema. Há certos tipos de descoberta gerados por GuardDuty que exigem que você confirme o impacto antes que o Accelerate execute qualquer ação. Por exemplo, o tipo de GuardDuty descoberta **UnauthorizedAccess:IAMUser/ConsoleLogin**indica que um de seus usuários fez login em um local incomum; o AMS notifica você e solicita que você revise a descoberta para confirmar se esse comportamento é legítimo.
## Monitore com o Amazon Macie
O AMS Accelerate oferece suporte ao Amazon Macie, e é uma prática recomendada de usar, para detectar uma lista grande e abrangente de dados confidenciais, como informações pessoais de saúde (PHI), informações de identificação pessoal (PII) e dados financeiros.
Você pode configurar o Macie para ser executado periodicamente em qualquer bucket do Amazon S3. Isso automatiza a avaliação de objetos novos ou modificados em um bucket ao longo do tempo. À medida que as descobertas de segurança são geradas, o AMS notifica você e trabalha com você para corrigir as descobertas conforme necessário.
Para obter mais informações, consulte [Análise das descobertas do Amazon Macie.](https://docs.aws.amazon.com/macie/latest/user/findings.html)
## Monitor com GuardDuty
GuardDuty é um serviço contínuo de monitoramento de segurança que usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, e aprendizado de máquina para identificar atividades inesperadas, potencialmente não autorizadas e maliciosas em seu ambiente. AWS Isso pode incluir problemas como escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP ou domínios maliciosos. GuardDuty monitora o comportamento de Conta da AWS acesso em busca de sinais de comprometimento, como implantações de infraestrutura não autorizadas, instâncias implantadas em uma AWS região que você nunca usou. GuardDuty também detecta chamadas de API incomuns, como uma alteração na política de senha para reduzir a força da senha. Para obter mais informações, consulte o [Guia do usuário do GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Para visualizar e analisar suas GuardDuty descobertas, conclua as seguintes etapas:
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Escolha **Descobertas** e, em seguida, selecione uma descoberta específica para ver os detalhes. Os detalhes de cada descoberta diferem dependendo do tipo de descoberta, dos recursos envolvidos e da natureza da atividade.
Para obter mais informações sobre os campos de busca disponíveis, consulte [os detalhes da GuardDuty descoberta](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html).
### Use regras de GuardDuty supressão para filtrar descobertas
Uma regra de supressão é um conjunto de critérios que consiste em um atributo de filtro emparelhado com um valor. Você pode usar regras de supressão para filtrar descobertas de baixo valor sobre as quais você não pretende agir, como descobertas falsas positivas ou atividades conhecidas. Filtrar suas descobertas ajuda a facilitar o reconhecimento das ameaças à segurança que podem ter o maior impacto em seu ambiente.
Para filtrar as descobertas, as regras de supressão arquivam automaticamente as novas descobertas que correspondam aos critérios especificados. As descobertas arquivadas não são enviadas para o AWS Security Hub, Amazon S3 ou Events. CloudTrail Portanto, os filtros de supressão reduzem os dados não acionáveis se você consumir GuardDuty descobertas por meio do Security Hub ou de um aplicativo de emissão de alertas e tickets SIEM de terceiros.
O AMS tem um conjunto definido de critérios para identificar regras de supressão para suas contas gerenciadas. Quando uma conta gerenciada atende a esses critérios, o AMS aplica os filtros e cria uma solicitação de serviço (SR) para você que detalha o filtro de supressão implantado.
Você pode se comunicar com o AMS por meio de um SR para modificar ou reverter os filtros de supressão.
**Veja as descobertas arquivadas**
GuardDuty continua gerando descobertas mesmo quando essas descobertas correspondem às suas regras de supressão. As descobertas suprimidas são marcadas como **arquivadas**. GuardDuty armazena a descoberta arquivada por 90 dias. Você pode visualizar as descobertas arquivadas no GuardDuty console durante esses 90 dias selecionando **Arquivado na tabela** de descobertas. **Ou visualize as descobertas arquivadas por meio da GuardDuty API usando a [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API com um **FindingCriteria** **de** service.archived igual a true.**
**Casos de uso comuns para regras de supressão**
Veja a seguir os tipos de descoberta em casos de uso comuns para aplicar regras de supressão:
+ **Recon: EC2 /Portscan**: use uma regra de supressão para arquivar automaticamente as descobertas ao usar um scanner de vulnerabilidade autorizado.
+ **UnauthorizedAccess:EC2/SSHBruteForce**: use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias do Bastion.
+ **Recon:EC2/PortProbeUnprotectedPort:** Use uma regra de supressão para arquivar automaticamente as descobertas quando elas forem direcionadas a instâncias expostas intencionalmente.
## Monitore com o Amazon Route 53 Resolver DNS Firewall
O Amazon Route 53 Resolver responde recursivamente às consultas de DNS de AWS recursos para registros públicos, nomes DNS específicos do Amazon VPC e zonas hospedadas privadas do Amazon Route 53, e está disponível por padrão em todos. VPCs Com o Firewall DNS do Route 53 Resolver, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Para fazer isso, você cria coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall DNS, associa os grupos de regras à sua VPC e monitora a atividade em logs e métricas do Firewall DNS. Com base na atividade, você pode ajustar o comportamento do Firewall DNS adequadamente. Para obter mais informações, consulte [Usando o firewall DNS para filtrar o tráfego DNS de saída](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
Para visualizar e gerenciar sua configuração do Route 53 Resolver DNS Firewall, use o procedimento a seguir:
1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Em **Firewall DNS**, escolha **Grupos de regras**.
1. Revise, edite ou exclua sua configuração existente ou crie um novo grupo de regras. Para obter mais informações, consulte [Como o Route 53 Resolver DNS Firewall funciona](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-overview.html).
### Amazon Route 53 Resolver DNS Firewall: monitoramento e segurança
O Amazon Route 53 DNS Firewall usa os conceitos de associação de regras, ação de regras e prioridade de avaliação de regras. Uma lista de domínios é um conjunto reutilizável de especificações de domínios que você usa em uma regra do DNS Firewall, dentro de um grupo de regras. Quando você associa um grupo de regras a uma VPC, o DNS Firewall compara suas consultas de DNS com as listas de domínios usadas nas regras. Se o Firewall do DNS encontrar uma correspondência, ele processará a consulta de DNS de acordo com a ação da regra correspondente. Para obter mais informações sobre grupos e regras de regras, consulte Regras [e grupos de regras do Firewall DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html).
As listas de domínios se enquadram em duas categorias principais:
+ Listas de domínios gerenciados, que AWS criam e mantêm para você.
+ Suas próprias listas de domínios, que você cria e mantém.
Os grupos de regras são avaliados com base em seu índice de prioridade de associação.
Por padrão, o AMS implanta uma configuração de linha de base que consiste na seguinte regra e grupo de regras:
+ Um grupo de regras chamado`DefaultSecurityMonitoringRule`. O grupo de regras tem a maior prioridade de associação disponível no momento da criação para cada VPC existente em cada uma habilitada. Região da AWS
+ Uma regra nomeada `DefaultSecurityMonitoringRule` com prioridade **1** dentro do grupo de `DefaultSecurityMonitoringRule` regras, usando a lista de domínios `AWSManagedDomainsAggregateThreatList` gerenciados com a ação **ALERT**.
Se você tiver uma configuração existente, a configuração básica será implantada com menor prioridade do que a configuração existente. Sua configuração existente é a padrão. Você usa a configuração básica do AMS como uma solução abrangente se sua configuração existente não fornecer uma instrução de maior prioridade sobre como lidar com a resolução de consultas. Para alterar ou remover a configuração da linha de base, faça o seguinte:
+ Entre em contato com seu Cloud Service Delivery Manager (CSDM) ou Cloud Architect (CA).
+ Crie uma solicitação de serviço.
## Criptografia de dados no AMS Accelerate
O AMS Accelerate usa vários Serviços da AWS para criptografia de dados.
O Amazon Simple Storage Service oferece várias opções de criptografia de objetos que protegem dados em trânsito e em repouso. A criptografia no lado do servidor criptografa o objeto antes de salvá-lo em discos em seus datacenters e os descriptografa ao fazer download dos objetos. Contanto que você autentique sua solicitação e tenha permissões de acesso, não há diferença na forma de acesso aos objetos criptografados ou não criptografados. Para obter mais informações, consulte [Proteção de dados no Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html).
# AWS Identity and Access Management no AMS Accelerate
AWS Identity and Access Management é um serviço web que ajuda você a controlar com segurança o acesso aos AWS recursos. Você usa o IAM para controlar quem é autenticado (fez login) e autorizado (tem permissões) a usar os recursos. Durante a integração do AMS Accelerate, você é responsável por criar funções de administrador do IAM entre contas em cada uma de suas contas gerenciadas.
No AMS Accelerate, você é responsável por gerenciar o acesso aos seus recursos subjacentes Contas da AWS e aos deles, como soluções de gerenciamento de acesso, políticas de acesso e processos relacionados. Isso significa que você gerencia o ciclo de vida do usuário, as permissões nos serviços de diretório e o sistema de autenticação federada para acessar o AWS console ou. AWS APIs Para ajudá-lo a gerenciar sua solução de acesso, o AMS Accelerate implanta AWS Config regras que detectam configurações incorretas comuns do IAM e fornece notificações de remediação. Para obter mais informações, consulte [Regras gerenciadas do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html).
## Autenticação com identidades no AMS Accelerate
O AMS usa funções do IAM, que são um tipo de identidade do IAM. Uma função do IAM é semelhante à de um usuário, pois é uma identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, uma função não tem credenciais associadas a ela e, em vez de ser associada exclusivamente a uma pessoa, pode ser assumida por qualquer pessoa que precise dela. Um usuário do IAM pode assumir uma função para conseguir temporariamente permissões diferentes para uma tarefa específica.
As funções de acesso são controladas pela associação interna ao grupo, que é administrada e revisada periodicamente pelo Operations Management. O AMS usa as seguintes funções do IAM.
**nota**
As funções de acesso do AMS permitem que os operadores do AMS acessem seus recursos para fornecer recursos do AMS (consulte[Service description (Descrição do serviço)](acc-sd.md)). Alterar essas funções pode inibir nossa capacidade de fornecer esses recursos. Se você precisar alterar as funções de acesso ao AMS, consulte seu Cloud Architect.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/acc-sec-iam.html)
**nota**
Esse é o modelo para a ams-access-management função. [É a pilha que os arquitetos de nuvem (CAs) implantam manualmente em sua conta na integração: management-role.yaml.](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)
Esse é o modelo para as diferentes funções e níveis de acesso: ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin: [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml).
[Para saber mais sobre identificadores AWS Cloud Development Kit (AWS CDK) (AWS CDK), incluindo hashes, consulte Exclusivo. IDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids)
Os serviços de recursos do AMS Accelerate assumem a **ams-access-admin**função de acesso programático à conta, mas com uma política de sessão definida para o respectivo serviço de recursos (por exemplo, patch, backup, monitoramento e assim por diante).
O AMS Accelerate segue as melhores práticas do setor para atender e manter a elegibilidade de conformidade. O acesso do AMS Accelerate à sua conta é registrado CloudTrail e também está disponível para sua análise por meio do rastreamento de alterações. Para obter informações sobre consultas que você pode usar para obter essas informações, consulte[Rastreando alterações em suas contas do AMS Accelerate](acc-change-record.md).
## Gerenciar o acesso usando políticas
Várias equipes de suporte do AMS Accelerate, como engenheiros de operações, arquitetos de nuvem e gerentes de prestação de serviços em nuvem (CSDMs), às vezes exigem acesso às suas contas para responder a solicitações e incidentes de serviço. Seu acesso é controlado por um serviço de acesso interno do AMS que impõe controles, como justificativa comercial, solicitações de serviço, itens operacionais e casos de suporte. O acesso padrão é somente leitura e todo o acesso é rastreado e registrado; consulte também. [Rastreando alterações em suas contas do AMS Accelerate](acc-change-record.md)
### Validação de recursos do IAM
O sistema de acesso do AMS Accelerate assume periodicamente funções em suas contas (pelo menos a cada 24 horas) e valida se todos os nossos recursos do IAM estão conforme o esperado.
Para proteger suas contas, o AMS Accelerate tem um “canário” que monitora e alerta sobre a presença e o status das funções do IAM, bem como suas políticas anexas, mencionadas acima. Periodicamente, o canário assume a **ams-access-read-only**função e inicia CloudFormation chamadas de API do IAM em suas contas. O canário avalia o status das funções de acesso do AMS Accelerate para garantir que elas estejam sempre inalteradas e. up-to-date Essa atividade cria CloudTrail registros na conta.
O nome da sessão AWS Security Token Service (AWS STS) do canário é **AMS-Access-Roles-Auditor- \$1uuid4 (**)\$1, conforme visto em, e as seguintes chamadas de API ocorrem: CloudTrail
+ Chamadas da API Cloud Formation: `describe_stacks()`
+ Chamadas de API do IAM:
+ `get_role()`
+ `list_attached_role_policies()`
+ `list_role_policies()`
+ `get_policy()`
+ `get_policy_version()`
+ `get_role_policy()`
# Resposta a incidentes de segurança no AMS
A segurança é a principal prioridade no AWS Managed Services (AMS). O AMS implanta recursos e controles em suas contas para gerenciá-las. AWS tem um modelo de responsabilidade compartilhada: AWS gerencia a segurança da nuvem e você é responsável pela segurança na nuvem. O AMS protege seus dados e ativos e ajuda a manter sua AWS infraestrutura segura usando controles de segurança e monitoramento ativo para problemas de segurança. Esses recursos ajudam você a estabelecer uma linha de base de segurança para aplicativos executados na AWS nuvem. A AMS colabora com você por meio do Security Incident Response para avaliar o efeito e, em seguida, realizar a contenção e as remediações com base nas recomendações de melhores práticas.
Quando ocorre um desvio da linha de base, como por uma configuração incorreta ou uma alteração em fatores externos, você precisa responder e investigar. Para fazer isso com sucesso, você precisa entender os conceitos básicos de Resposta a Incidentes de Segurança em seu ambiente AMS. Você também deve entender os requisitos para preparar, educar e treinar equipes de nuvem antes que ocorram problemas de segurança. É importante conhecer os controles e os recursos que você pode usar, preparar planos de resposta para problemas comuns de segurança, como comprometimento da conta do usuário ou uso indevido de contas privilegiadas, e identificar métodos de remediação que usam a automação para melhorar a velocidade e a consistência da resposta. Além disso, você precisa entender seus requisitos regulatórios e de conformidade relacionados à criação de um programa de resposta a incidentes de segurança para atender a esses requisitos.
A resposta a incidentes de segurança pode ser complexa, mas, ao implementar uma abordagem iterativa, você pode simplificar o processo e permitir que a equipe de resposta a incidentes mantenha as partes interessadas dos ativos satisfeitas, fornecendo detecção e resposta precoces e contínuas. Neste guia, fornecemos a metodologia que o AMS usa para resposta a incidentes, a matriz de responsabilidade do AMS (RACI), como você pode se preparar para um evento de segurança, como engajar o AMS durante incidentes de segurança e alguns dos runbooks de resposta a incidentes que o AMS usa.
# Como funciona o AMS Security Incident Response
O AWS Managed Services se alinha ao [Guia de Tratamento de Incidentes de Segurança de Computadores do NIST 800-61 para resposta a incidentes de segurança](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final). Ao nos alinharmos a esse padrão do setor, fornecemos uma abordagem consistente para o gerenciamento de eventos de segurança e aderimos às melhores práticas para proteger e responder a incidentes de segurança em sua nuvem.
![\[Ciclo de vida de resposta a incidentes\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/sec-inc-response-1.png)
**Ciclo de vida de resposta a incidentes**
Quando a detecção identifica e gera um alerta de segurança, ou você solicita assistência de segurança, a equipe de operações do AWS Managed Services garante que haja uma investigação oportuna, executa automações para realizar a coleta, triagens e análises de dados, informa sobre a análise, realiza a investigação e quaisquer atividades de contenção e, em seguida, publica a análise do evento.
As atividades de coleta, triagem, análise e contenção de dados realizadas durante a resposta ao incidente variam de acordo com o tipo de evento de segurança que está sendo investigado. Exemplos de fluxos de trabalho do Security Incident Response para cenários selecionados estão no final deste documento.
Durante incidentes, o AMS determina dinamicamente o curso de ação correto, o que pode resultar em etapas documentadas sendo reordenadas ou ignoradas, conforme apropriado, para garantir que o resultado correto ocorra.
# Preparar
À medida que o cenário de ameaças evolui, o AMS continua expandindo os recursos de detecção e resposta. À medida que novas detecções são adicionadas, o AMS incorpora os alertas dessas novas detecções na plataforma de detecção e resposta. Os agentes de segurança da AMS são treinados para investigar e fazer parceria com você durante todo o ciclo de vida do Security Incident Response.
Por causa dessa abordagem de parceria, é importante que suas equipes de segurança e aplicativos estejam preparadas para interagir com o AMS para lidar com eventos de segurança à medida que esses eventos ocorrerem. Esta documentação explica o que esperar durante um evento de segurança e ajuda você a se preparar para uma resposta rápida quando ocorrer um incidente de segurança.
Esta documentação usa a definição do NIST 800-61 de um **evento** como qualquer ocorrência observável em um sistema ou rede e um **incidente** como uma violação ou ameaça iminente de violação de políticas, políticas de uso aceitável ou práticas de segurança padrão.
## Lista de verificação de preparação
Faça a seguinte lista de verificação com seu gerente de entrega de soluções de nuvem (CSDM) e arquiteto de nuvem AMS (CA):
+ Entenda quais cargas de trabalho estão sendo executadas em quais contas.
+ Entenda quais equipes internas são responsáveis pelas várias cargas de trabalho e marque-as adequadamente nas cargas de trabalho.
+ Mantenha os detalhes de contato internos de outras equipes que possam ser necessárias durante uma investigação de evento de segurança e para decisões de contenção.
+ Confirme se os contatos de segurança estão atualizados e adicionados a todas as AWS contas gerenciadas. Os contatos são gerenciados por conta.
+ Saiba como enviar um incidente de segurança para o AMS e esteja familiarizado com a gravidade e os tempos de resposta esperados.
+ Certifique-se de que, quando as notificações de segurança forem recebidas, elas sejam encaminhadas para as pessoas e sistemas apropriados, como pagers ou seu centro de operações de segurança.
+ Entenda quais fontes de registro estão disponíveis para você, onde elas estão armazenadas em suas contas e quem tem acesso a elas.
+ Entenda como usar o CloudWatch Insights para consultar registros durante investigações.
+ Entenda as opções de contenção disponíveis para você por recurso (IAMEC2, S3 e assim por diante) e as consequências na disponibilidade de sua carga de trabalho quando em contenção.
# Detectar
Durante o gerenciamento de suas AWS contas, o AMS monitora anomalias no comportamento do usuário, atividades da conta e possíveis eventos de segurança usando dados coletados de fontes e controles de detecção, incluindo, mas não se limitando a, CloudWatch Amazon, GuardDuty VPC Flow Logs, Amazon Macie e feeds internos de inteligência de ameaças AWS Config da Amazon.
O AMS usa AWS serviços nativos e outras tecnologias de detecção para responder aos eventos de segurança criados por:
+ Configure tipos de descoberta de conformidade
+ GuardDuty Tipos de localização
+ Tipos de descoberta de Macie
+ Eventos de firewall DNS do Amazon Route 53 Resolver
+ Eventos de segurança do AMS (alarmes de vigilância na nuvem)
Descobertas adicionais são adicionadas à medida que os serviços, produtos e ecossistemas de ameaças evoluem.
## Relate eventos de segurança ao AMS
Levante um incidente por meio do Suporte Centro ou Portal de Suporte do AMS para notificar o AMS sobre um incidente de segurança ou solicitar investigações.
# Analisar
Depois que um evento de segurança é identificado e relatado, a próxima etapa é analisar se o evento relatado é um falso positivo ou um incidente real. O AMS usa automação e técnicas de investigação manual para lidar com eventos de segurança. A análise inclui a investigação de registros de diferentes fontes de detecção, como registros de tráfego de rede, registros de host, CloudTrail eventos, registros AWS de serviços e assim por diante. A análise também busca padrões que mostram um comportamento anômalo por correlação.
Sua parceria é necessária para entender o contexto específico do ambiente da conta e estabelecer o que é normal para sua conta e suas cargas de trabalho. Isso ajuda o AMS a identificar uma anomalia mais rapidamente e a uma resposta acelerada a incidentes.
## Gerencie as comunicações do AMS sobre eventos de segurança
O AMS mantém você informado durante a investigação, envolvendo seus contatos de segurança por meio de um ticket de incidente. Seu gerente de prestação de serviços em nuvem (CSDM) e o arquiteto de nuvem (CA) do AMS são os pontos de contato a serem contatados para qualquer comunicação durante uma investigação de segurança ativa.
A comunicação inclui a notificação automática quando um alerta de segurança é gerado, a comunicação após a análise do evento, o estabelecimento de pontes de chamadas e a entrega contínua de artefatos, como arquivos de log, captura instantânea dos recursos infectados e obtenção dos resultados da investigação durante o evento de segurança.
Os campos padrão incluídos nas notificações de alerta de segurança do AMS estão listados abaixo. Esses campos fornecem informações para que você possa encaminhar eventos para as equipes apropriadas em sua organização para remediação.
+ Tipo de descoberta
+ Identificador de localização (quando relevante)
+ Encontrando a severidade
+ Descrição da descoberta
+ Localizando a data e a hora de criação
+ AWS ID da conta
+ Região (quando relevante)
+ AWS Recursos (IAMuser/role/policy, S3 EC2, EKS)
Campos adicionais são fornecidos dependendo do tipo de descoberta, por exemplo, as descobertas do EKS incluem detalhes do pod, do contêiner e do cluster.
# Contenção
A abordagem da AMS à contenção é uma parceria com você. Você entende seus negócios e os impactos na carga de trabalho que podem ocorrer com atividades de contenção, como isolamento de rede, desprovisionamento de usuários ou funções do IAM, reconstrução de instâncias e assim por diante.
Uma parte essencial da contenção é a tomada de decisões. Por exemplo, desligue um sistema, isole um recurso da rede ou desative o acesso ou encerre sessões. Essas decisões são mais fáceis de tomar se houver estratégias e procedimentos predeterminados para conter o incidente. O AMS fornece a estratégia de contenção e, em seguida, implementa a solução depois de considerar o risco envolvido na implementação das ações de contenção.
Há diferentes opções de contenção, dependendo dos recursos em análise. A AMS espera que vários tipos de contenção sejam implantados simultaneamente durante uma investigação de incidente. Alguns desses exemplos incluem:
+ Aplique regras de proteção para bloquear tráfego não autorizado (grupo de segurança, NACL, regras WAF, regras de SCP, negação de listagem, configuração da ação de assinatura para quarentena ou bloqueio)
+ Isolamento de recursos
+ Isolamento de rede
+ Desabilitando usuários, funções e políticas do IAM
+ Modificando/reduzindo o usuário e o privilégio de função do IAM
+ Encerrando/Suspendo/ Excluindo recursos computacionais
+ Restringindo o acesso público ao recurso afetado
+ Chaves de acesso, chaves de API e senhas rotativas
+ Limpando credenciais divulgadas e informações confidenciais
A AMS incentiva você a considerar o tipo de estratégia de contenção para cada tipo de incidente importante que esteja dentro de seu apetite pelo risco, com critérios claramente documentados para ajudar na tomada de decisões no caso de um incidente. Os critérios para determinar a estratégia apropriada incluem:
+ Potenciais danos aos recursos.
+ Preservação de evidências
+ Indisponibilidade de serviços (por exemplo, conectividade de rede e serviços fornecidos para entidades externas).
+ Tempo e recursos necessários para implementar a estratégia.
+ Eficácia da estratégia (por exemplo, contenção parcial, contenção total)
+ Permanência da solução (por exemplo, decisões de porta unidirecional versus decisões de porta bidirecional)
+ Duração da solução (por exemplo, solução alternativa de emergência a ser removida em quatro horas, solução temporária a ser removida em duas semanas, solução permanente).
+ Aplique controles de segurança que você possa ativar para reduzir o risco e ter tempo para definir e implementar uma contenção mais eficaz.
A velocidade da contenção é fundamental. A AMS recomenda uma abordagem em etapas para obter uma contenção eficiente e eficaz, elaborando estratégias de abordagens de curto e longo prazo.
Use este guia para considerar sua estratégia de contenção que envolve técnicas diferentes com base no tipo de recurso.
+ Estratégia de contenção
+ O AMS pode identificar o escopo do incidente de segurança?
+ Em caso afirmativo, realize a identificação de todos os recursos afetados (usuários, sistemas e recursos).
+ Em caso negativo, realize a investigação simultaneamente à execução da próxima etapa nos recursos previamente identificados.
+ O recurso pode ser isolado?
+ Em caso afirmativo, prossiga com o isolamento dos recursos afetados.
+ Em caso negativo, colabore com os responsáveis pelos sistemas e gerentes para determinar as ações necessárias para a contenção do problema.
+ Todos os recursos afetados estão isolados dos recursos que não foram afetados?
+ Em caso afirmativo, prossiga para a próxima etapa.
+ Se não, continue isolando os recursos afetados até que a contenção de curto prazo seja realizada para evitar que o incidente se agrave ainda mais.
+ Backup do sistema
+ Foram criadas cópias de backup dos sistemas afetados para análises posteriores?
+ As cópias para análises forenses estão devidamente criptografadas e armazenadas em um local seguro?
+ Em caso afirmativo, prossiga para a próxima etapa.
+ Em caso negativo, criptografe as imagens para análises forenses e, em seguida, armazene-as em um local seguro para evitar uso acidental, danos e adulterações.
# Erradicação
Depois que um incidente for contido, a erradicação pode ser necessária para eliminar completamente as fontes de ameaça e proteger o sistema antes de prosseguir para o próximo estágio de recuperação. As etapas de erradicação podem incluir a exclusão de malware e a remoção de contas de usuário comprometidas, além de identificar e mitigar todas as vulnerabilidades que foram exploradas. Durante a erradicação, é importante identificar todas as contas, recursos e instâncias afetados no ambiente para que possam ser corrigidos.
É uma prática recomendada que a erradicação e a recuperação sejam feitas em uma abordagem em fases para que as etapas de remediação sejam priorizadas. Para incidentes de grande escala, a recuperação pode levar meses. A intenção das fases iniciais deve ser aumentar a segurança geral com mudanças de alto valor relativamente rápidas (dias ou semanas) para evitar futuros incidentes. As fases posteriores devem se concentrar em mudanças de longo prazo (por exemplo, mudanças na infraestrutura) e no trabalho contínuo para manter a empresa o mais segura possível.
Para alguns incidentes, a erradicação não é necessária ou é realizada durante a recuperação.
Considere o seguinte:
+ O sistema pode ser recriado e depois reforçado com patches ou outras contramedidas para evitar ou reduzir o risco de ataques?
+ Todos os malwares e outros artefatos deixados pelos atacantes são removidos e os sistemas afetados são protegidos contra novos ataques?
# Recuperar
A AMS faz parceria com você para restaurar a operação normal dos sistemas, confirmar se os sistemas estão funcionando normalmente e (conforme aplicável) corrigir vulnerabilidades para evitar incidentes semelhantes.
Considere o seguinte:
+ O (s) sistema (s) afetado (s) está (m) corrigido (s) e protegido (s) contra o ataque recente e possíveis ataques futuros?
+ Em que dia e horário são viáveis para restaurar a produção dos sistemas afetados?
+ Quais ferramentas você usará para testar, monitorar e verificar se os sistemas que você restaura para produção não são vulneráveis às técnicas iniciais de ataque?
# Relatório pós-incidente
Após o evento, o AMS executa um processo de análise de investigação para todos os incidentes de segurança. Além disso, o AMS inicia um processo de correção de erro (COE) para tratar de incidentes de segurança causados por um sistema ou por uma falha processual que, plausivelmente, pode ser melhorada. A AMS faz parceria com você para melhorar continuamente a experiência de investigação de segurança. O processo de COE ajuda a AMS a identificar os fatores que contribuem para eventos que afetam o cliente e conecta essas causas aos itens de ações futuras que podem evitar que eventos semelhantes se repitam ou ajudar a mitigar a duração ou o nível de impacto.
O processo de análise da investigação de incidentes de segurança aborda os seguintes itens para identificar oportunidades de melhoria:
+ Qual foi o tempo decorrido desde o início do incidente até a descoberta do incidente, a avaliação inicial do impacto e cada estágio do processo de tratamento do incidente (por exemplo, contenção, recuperação)?
+ Quanto tempo a equipe de resposta a incidentes levou para responder ao relatório inicial do incidente?
+ Quanto tempo demorou para fazer uma análise de impacto inicial?
+ Isso era evitável e como? Existe uma ferramenta ou processo que poderia ter evitado isso?
+ Poderíamos ter detectado isso mais cedo e como?
+ O que poderia ter acelerado a investigação?
+ Os procedimentos documentados de resposta a incidentes foram seguidos? Eles eram adequados?
+ O compartilhamento de informações com outras partes interessadas foi feito em tempo hábil? Como ele poderia ser melhorado?
+ A colaboração com outras equipes (AWS segurança, equipes de contas, equipe de AWS desenvolvimento e equipe de segurança do cliente) foi eficaz? Se não, o que poderia ser melhorado?
+ Quais etapas de preparação estavam faltando que poderiam ter ajudado, matrizes de escalonamento, RACIs, modelos de responsabilidade compartilhada e assim por diante? É necessário atualizar algum Runbook?
+ Qual foi a diferença entre a avaliação de impacto inicial e a avaliação de impacto final? O que podemos fazer para melhorar a precisão das avaliações anteriores na resposta ao incidente?
+ Quais são os itens de ação das lições aprendidas?
# Runbooks de resposta a incidentes de segurança no AMS
Esta seção contém dois runbooks:
+ [Resposta à atividade do usuário root](sir-root-user.md)
+ [Resposta a eventos de malware](sir-malware.md)
# Resposta à atividade do usuário root
O [usuário root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) é o superusuário em sua AWS conta. Observe que o AMS monitora o uso do root. É uma prática recomendada usar o usuário root somente para as poucas tarefas que o exigem, como alterar as configurações da conta, ativar o acesso AWS Identity and Access Management (IAM) ao faturamento e ao gerenciamento de custos, alterar sua senha raiz e ativar a autenticação multifator (MFA). Para obter mais informações, consulte [Tarefas que exigem credenciais de usuário root](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root).
Para obter mais informações sobre como informar o AMS sobre o uso raiz planejado, consulte [Quando e como usar a conta raiz no AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html).
Quando a atividade do usuário root é detectada, ou tentativas malsucedidas de login que podem indicar um ataque de força bruta ou atividade na conta após um login bem-sucedido, um evento é gerado e um incidente é enviado aos seus contatos de segurança definidos.
O AWS Managed Services Operations investiga atividades não planejadas do usuário raiz, realiza coleta, triagem e análise de dados e realiza atividades de contenção sob sua orientação, seguidas pela análise pós-evento.
Se você tiver o modelo operacional AMS Advanced, receberá comunicações adicionais dos engenheiros do AMS CSDM e do AMS Ops que confirmam a atividade não planejada do usuário raiz devido à responsabilidade do AMS de proteger as credenciais do usuário raiz. O AMS investiga a atividade do usuário raiz até que você confirme um caminho a seguir.
## Preparar
Avise o AMS sobre qualquer uso planejado do usuário raiz enviando uma solicitação de serviço do AMS com dados e horários do evento planejado para evitar atividades desnecessárias de resposta a incidentes.
Conduza periodicamente GameDays com a AMS para validar os processos de resposta a incidentes de clientes da AMS, se as pessoas e os sistemas estão atualizados e crie uma memória muscular com indivíduos responsáveis para obter uma resposta mais rápida a incidentes.
## Fase A: Detectar
O AMS monitora a atividade raiz nas contas por meio de fontes de detecção, incluindo GuardDuty o monitoramento do AMS.
Se você tiver o AMS Accelerate, o modelo operacional responde ao incidente solicitando investigação de atividade inesperada do usuário raiz. Quando isso ocorre, o AMS Operations inicia o runbook de contas comprometidas.
Se você tiver o AMS Advanced, o modelo operacional responde ao incidente ou informa o CSDM sobre qualquer atividade planejada do usuário raiz para encerrar uma investigação ativa de comprometimento de conta.
## Fase B: Analisar
O AMS realiza uma investigação completa dos eventos do usuário raiz quando é determinado que a atividade não está autorizada. Usando as automações e a equipe de resposta de segurança do AMS, os registros e eventos são analisados em busca de anomalias e comportamentos inesperados dos usuários root. Os registros são fornecidos para ajudar a determinar se a atividade é desconhecida, se é um evento autorizado do usuário root ou se requer uma investigação mais aprofundada.
Alguns exemplos das informações fornecidas durante a investigação para apoiar as verificações internas incluem:
+ Informações da conta: em qual conta a conta raiz foi usada?
+ Endereço de e-mail do usuário raiz: cada usuário raiz está associado a um endereço de e-mail da sua organização
+ Detalhes da autenticação: de onde e quando o usuário root acessou seu ambiente?
+ Registros de atividades: o que o usuário fez quando estava logado como root? Esses registros estão na forma de CloudWatch eventos. Entender como ler esses registros ajuda na investigação.
É uma prática recomendada que você esteja preparado para receber as informações de análise e ter um plano de como alcançar pontos de contato autorizados para contas em sua organização. Como os usuários raiz não são nomeados como indivíduos, determinar quem tem acesso ao endereço de e-mail raiz usado para a conta em sua organização ajuda a encaminhar rapidamente as perguntas internamente.
## Fase C: Conter e erradicar
A AMS faz parceria com suas equipes de segurança para realizar a contenção sob a orientação de seus contatos autorizados de Segurança do Cliente. As opções de contenção incluem:
+ Rotação de credenciais e chaves apropriadas.
+ Encerramento de sessões ativas em contas e recursos.
+ Erradicando os recursos criados.
Durante as atividades de contenção, o AMS trabalha em estreita colaboração com sua equipe de segurança para garantir que qualquer interrupção em suas cargas de trabalho seja minimizada e que as credenciais raiz sejam protegidas adequadamente.
Depois que o plano de contenção for concluído, você trabalha com a equipe de operações do AMS para quaisquer ações de recuperação, conforme necessário.
## Relatório pós-incidente
Conforme necessário, a AMS inicia o processo de revisão da investigação para identificar as lições aprendidas. Como parte da conclusão de um COE, a AMS comunica todas as descobertas relevantes aos clientes afetados para ajudá-los a melhorar seu processo de resposta a incidentes.
O AMS documenta todos os detalhes finais da investigação, coleta métricas apropriadas e, em seguida, relata o incidente a qualquer equipe interna do AMS que precise de informações, incluindo seu CSDM e CA designados.
# Resposta a eventos de malware
As EC2 instâncias da Amazon são usadas para hospedar uma variedade de cargas de trabalho, incluindo software de terceiros e software desenvolvido sob medida, implantado por equipes de aplicativos dentro das organizações. O AMS fornece e incentiva você a implantar suas cargas de trabalho em imagens que são corrigidas e mantidas continuamente pelo AMS.
Durante a operação das instâncias, o AMS monitora anomalias no comportamento ou na atividade por meio de uma variedade de controles de detecção de segurança, incluindo feeds internos da Amazon GuardDuty, do Network Traffic e do Amazon Threat Intelligence.
O AMS também monitora as descobertas de GuardDuty malware. Eles estão disponíveis no AMS Advanced e no AMS Accelerate, se habilitados. Consulte [Proteção contra malware na Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html) para obter mais informações.
**nota**
Se você optou por [Traga seu próprio EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html), o processo de resposta a incidentes é diferente do descrito nesta página. Para obter mais informações, consulte a documentação referenciada.
Quando um malware é detectado, um incidente é criado e você é notificado sobre o evento. Essa notificação é seguida por todas as atividades de remediação que ocorreram. O AMS Operations investiga, realiza coleta, triagem e análise de dados e, em seguida, realiza atividades de contenção sob sua direção, seguidas pela análise pós-evento.
## Fase A: Detectar
O AMS monitora eventos em instâncias com GuardDuty. O AMS determina as atividades apropriadas de enriquecimento e triagem para ajudá-lo a tomar decisões de contenção ou aceitação de riscos com base no tipo de descoberta ou alerta.
A coleta de dados é realizada com base no tipo de descoberta. A coleta de dados envolve a consulta de várias fontes de dados dentro e fora da conta afetada para criar uma imagem da atividade observada ou das configurações preocupantes.
O AMS realiza a correlação da descoberta com quaisquer outros alarmes e alertas ou telemetria de quaisquer contas afetadas ou plataformas de inteligência de ameaças da AMS.
## Fase B: Analisar
Depois que os dados são coletados, eles são analisados para identificar qualquer atividade ou indicador de preocupação. Durante essa fase da investigação, a AMS faz parceria com você para integrar o conhecimento comercial e de domínio das instâncias e cargas de trabalho para ajudar a entender o que é esperado e o que está fora do comum.
Alguns exemplos das informações fornecidas durante a investigação para apoiar as verificações internas incluem:
+ Informações da conta: em qual conta a atividade do malware foi observada?
+ Detalhes da instância: quais instâncias estão envolvidas nos eventos de malware?
+ Data e hora do evento: quando o alerta foi acionado?
+ Informações sobre a carga de trabalho: o que está sendo executado na instância?
+ Detalhes do malware, se relevante: famílias de malware e informações de código aberto sobre o malware.
+ Detalhes de usuários ou funções: quais usuários ou funções são afetados e envolvidos na atividade?
+ Registros de atividades: quais atividades são registradas na instância? Eles estão na forma de CloudWatch eventos e eventos do sistema da instância. Entender como ler esses registros ajudará você na investigação.
+ Atividade de rede: quais endpoints estão se conectando à instância, a que a instância está se conectando e qual é a análise de tráfego?
É uma prática recomendada estar preparado para receber informações de investigação e ter um plano sobre como entrar em contato com os pontos de contato apropriados para contas, instâncias e cargas de trabalho em sua organização. Compreender a topologia da rede e a conexão esperada pode ajudar a acelerar a análise de impacto. O conhecimento dos testes de penetração planejados no ambiente e das implantações recentes realizadas pelos proprietários de aplicativos também podem acelerar a investigação.
Se você determinar que a atividade foi planejada e autorizada, o incidente será atualizado e a investigação será encerrada. Se o comprometimento for confirmado, você e a AMS determinarão o plano de contenção apropriado.
## Fase C: Conter e erradicar
A AMS faz parceria com você para determinar as atividades de contenção apropriadas com base nos dados coletados e nas informações conhecidas. As opções de contenção incluem, mas não estão limitadas a:
+ Preservando dados por meio de instantâneos
+ Modificação das regras de rede para limitar o tráfego de entrada ou saída de instâncias
+ Modificando as políticas de usuário e função do SCP, do IAM para limitar o acesso
+ Encerramento, suspensão ou desativação de instâncias
+ Encerrando todas as conexões persistentes
+ Rotação de credenciais/chaves apropriadas
Se você optar por realizar atividades de erradicação contra a instância, o AMS o ajudará a conseguir isso. As opções incluem, mas não estão limitadas a:
+ Removendo qualquer software indesejado
+ Reconstruindo a instância a partir de uma imagem limpa e totalmente corrigida e reimplantando aplicativos e configurações
+ Restaurando a instância a partir de um backup anterior
+ Implantar aplicativos e serviços em outra instância da sua conta que possa ser adequada para hospedar as cargas de trabalho.
É importante determinar como o malware foi entregue e executado na instância antes da restauração do serviço para garantir que quaisquer controles adicionais sejam aplicados para evitar a recorrência do malware na instância. O AMS fornece insights ou informações adicionais aos seus parceiros ou equipes forenses, conforme necessário, para apoiar a perícia.
Neste ponto, você trabalha com o AMS Operations para as atividades de recuperação. O AMS trabalha em estreita colaboração com você para minimizar a interrupção das cargas de trabalho e proteger as instâncias.
## Relatório pós-incidente
Conforme necessário, a AMS inicia o processo de revisão da investigação para identificar as lições aprendidas. Como parte da conclusão de um COE, o AMS comunica descobertas relevantes para ajudá-lo a melhorar seu processo de resposta a incidentes.
O AMS documenta os detalhes finais da investigação, coleta métricas apropriadas e relata o incidente às equipes internas do AMS que precisam de informações, incluindo seu CSDM e CA designados.
# Registro e monitoramento de eventos de segurança no Accelerate
As contas inscritas no AMS Accelerate são configuradas com uma implantação básica de CloudWatch [eventos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) e [alarmes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) que foram otimizados para reduzir o ruído e identificar indícios de um incidente real. O AMS Accelerate também emprega GuardDuty para monitoramento de contas. Para obter mais informações, consulte [Monitor com GuardDuty](acc-sec-data-protect.md#acc-sec-data-protect-gd).
# Conformidade de configuração no Accelerate
O AMS Accelerate ajuda você a configurar seus recursos de acordo com altos padrões de segurança e integridade operacional e a cumprir os seguintes padrões do setor:
+ Centro de Segurança na Internet (CIS)
+ Estrutura de segurança em nuvem (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST)
+ Health Insurance Portability and Accountability Act (HIPAA)
+ Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI)
Fazemos isso implantando todo o nosso conjunto de AWS Config regras de conformidade em sua conta, consulte[Biblioteca de regras de configuração do AMS](#acc-sec-compliance-rules). Uma AWS Config regra representa as configurações desejadas para um recurso e é avaliada em relação às alterações nas configurações de seus AWS recursos. Qualquer alteração na configuração aciona um grande número de regras para testar a conformidade. Por exemplo, suponha que você crie um bucket do Amazon S3 e o configure para ser legível publicamente, violando os padrões do NIST. A [bucket-public-read-prohibited regra ams-nist-cis-s 3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) detecta a violação e rotula seu bucket do S3 como **não compatível** em seu relatório de configuração. Como essa regra pertence à categoria de remediação **automática de incidentes**, ela cria imediatamente um relatório de incidente, alertando você sobre o problema. Outras violações de regras mais graves podem fazer com que o AMS corrija automaticamente o problema. Consulte [Respostas às violações no Accelerate](#acc-sec-compliance-responses).
**Importante**
Se você quiser que façamos mais, por exemplo, se quiser que a AMS corrija uma violação para você, independentemente de sua categoria de remediação, envie uma Solicitação de Serviço solicitando que a AMS corrija os recursos não compatíveis para você. Na Solicitação de Serviço, inclua um comentário como “Como parte da correção da regra de configuração do AMS, corrija os recursos que não são de reclamação*RESOURCE\$1ARNS\$1OR\$1IDs*, configure a regra *CONFIG\$1RULE\$1NAME* na conta” e adicione as entradas necessárias para remediar a violação.
Se você quiser que façamos menos, por exemplo, se não quiser que tomemos medidas em um determinado bucket do S3 que requer acesso público por design, você pode criar exceções, consulte. [Criação de exceções de regras no Accelerate](#acc-sec-compliance-config-reports-exception)
## Biblioteca de regras de configuração do AMS
O Accelerate implanta uma biblioteca de regras de configuração do AMS para proteger sua conta. Essas regras de configuração começam com`ams-`. Você pode visualizar as regras em sua conta e seu estado de conformidade no AWS Config console, na AWS CLI ou na AWS Config API. Para obter informações gerais sobre o uso AWS Config, consulte [ ViewingConfiguration Conformidade](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).
**nota**
Para regiões opt-in Regiões da AWS e gov cloud, implantamos apenas um subconjunto das regras de configuração devido às restrições da região. Verifique a disponibilidade da regra nas regiões verificando o link associado ao identificador na tabela de regras de configuração do AMS Accelerate.
Você não pode remover nenhuma das regras de configuração do AMS implantadas.
### Tabela de regras
Faça o download como [ams\$1config\$1rules.zip](samples/ams_config_rules.zip).
**Regras de configuração do AMS**
| Nome da regra | Serviço | Trigger | Ação | Frameworks |
| --- | --- | --- | --- | --- |
| [ams-nist-cis-guardduty-habilitado-centralizado](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | GuardDuty | Periódico | Remediar | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 2.2,3.4,8.2.1; |
| [ams-nist-cis-vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC | Periódico | Remediar | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A), 164,312 (b); PCI: 2.2,10.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6; |
| [ams-eks-secrets-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/eks-secrets-encrypted.html) | EKS | Periódico | O incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| [ams-eks-endpoint-no-acesso público](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html) | EKS | Periódico | O incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| [ams-nist-cis-vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | VPC | Alterações de configuração | O incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1.2,1.3,2.1,2.2,1.2.1,1.3.2.2.2.2; |
| [ams-nist-cis-iam-política de senha](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | IAM | Periódico | O incidente | CIS: NA; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i), 164,308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 7.1.2, 7.1.3, 7.2.1, 7.2.2; |
| [ams-nist-cis-iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | IAM | Periódico | O incidente | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (3) (ii) (A) ,164,308 (a) (4) (3) (ii) (B)) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 2.2.7.1.2.7.1.3, 7.2.1, 7.2.2; |
| [ams-nist-cis-iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | IAM | Periódico | O incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i), 164,308 (a) a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 2.2,7.1.2,7.1.3,7.2.1,7.2.2; |
| [ams-nist-cis-restricted-cinza](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | Grupos de segurança | Alterações de configuração | O incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B) ,164,308 (a) (4) (ii) (C) 312 (a) (1); PCI: 2.2, 7.2.1, 8.1.4; |
| [ams-nist-cis-restricted-portas comuns](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | Grupos de segurança | Alterações de configuração | O incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) 4.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3.2.2.2.2; |
| [ams-nist-cis-s3 account-level-public-access - blocos](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html) | S3 | Alterações de configuração | O incidente | CIS: CIS.9, CIS.12, CIS.14; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2.2; |
| [ams-nist-cis-s3- bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | S3 | Alterações de configuração | O incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,2,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-s3- bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | S3 | Alterações de configuração | O incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,2,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-s3 bucket-server-side-encryption - ativado](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | S3 | Alterações de configuração | O incidente | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164,312 (c) (2), 164,312 (e) (2) (ii); PCI: 2.2,3.4,10.5,8.2.1; |
| [ams-nist-cis-securityhub-habilitado](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | Security Hub | Periódico | O incidente | CIS: CIS.3, CIS.4, CIS.6, CIS.12, CIS.16, CIS.19; NIST-CSF: PR.DS-5, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| [ams-nist-cis-ec2 instance-managed-by-systems - gerente](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | EC2 | Alterações de configuração | Relatório | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 2,4; |
| [ams-nist-cis-cloudtrail-habilitado](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | CloudTrail | Periódico | Relatório | CIS: CIS.16, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.308 (a) (5) (ii) (C), 164.312 (b); PCI: 10.1,10.2.1,10.2.2, 10.2.3, 10.2.4, 10.2.5, 10.2.6, 10.2.7, 10.3.1,10.3.2, 10.3.2, 10.3.3, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| [ams-nist-cis-access-teclas giradas](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | IAM | Periódico | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: 2,2; |
| [ams-nist-cis-acm-certificate-expiration-check](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html) | Certificate Manager | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.AC-5, PR.PT-4; HIPAA: NA; PCI: 4,1; |
| [ams-nist-cis-alb- http-to-https-redirection -verificar](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | ALB | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.3,4.1, 8.2.1; |
| [ams-nist-cis-api- gw-cache-enabled-and -criptografado](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | API Gateway | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164,312 (e) (2) (ii); PCI: 3,4; |
| [ams-nist-cis-api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway | Alterações de configuração | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164,312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | ELB | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: PR.PT-1, PR.PT-5; HIPAA: 164.312 (b); PCI: 2,2; |
| [ams-nist-cis-cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | CloudTrail | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164,312 (e) (2) (ii); PCI: 2,2,3,4,10,5; |
| [ams-nist-cis-cloud- trail-log-file-validation ativado](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | CloudTrail | Periódico | Relatório | CIS: CIS.6; NIST-CSF: PR.DS-6; HIPAA: 164,312 (c) (1), 164,312 (c) (2); PCI: 2,2,10,5,11,5, 10.5.2,10.5.5; |
| [ams-nist-cis-cloudtrail-s3-dataevents habilitado](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | CloudTrail | Periódico | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5,10.3.2,10.3.2,10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| [ams-nist-cis-cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | CloudWatch | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3,4; |
| [ams-nist-cis-cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | CloudWatch | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3,4; |
| [ams-nist-cis-codebuild-project-envvar-awscred-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html) | CodeBuild | Alterações de configuração | Relatório | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| [ams-nist-cis-codebuild- project-source-repo-url -verificar](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html) | CodeBuild | Alterações de configuração | Relatório | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| [ams-nist-cis-db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | RDS | Alterações de configuração | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: NA; |
| [ams-nist-cis-dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) | DMS | Periódico | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-dynamodb-autoscaling-habilitado](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | DynamoDB | Periódico | Relatório | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C); PCI: NA; |
| [ams-nist-cis-dynamodb-habilitado para pitr](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | DynamoDB | Periódico | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: NA; |
| [ams-nist-dynamodb-throughput-verificação de limite](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | DynamoDB | Periódico | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| [ams-nist-ebs-optimized-instância](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | EBS | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| [ams-nist-cis-ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | EBS | Periódico | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-ec2- instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | EC2 | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: DE.AE-1, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| [ams-nist-cis-ec2- instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | EC2 | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4)) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-ec2- managedinstance-association-compliance-status -verificação](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | EC2 | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-ec2- managedinstance-patch-compliance-status -verificação](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | EC2 | Alterações de configuração | Relatório | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 6,2; |
| [ams-nist-cis-ec2 instâncias interrompidas](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html) | EC2 | Periódico | Relatório | CIS: CIS.2; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: NA; PCI: NA; |
| [ams-nist-cis-ec2- volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | EC2 | Alterações de configuração | Relatório | CIS: CIS.2; NIST-CSF: PR.IP-1; HIPAA: NA; PCI: NA; |
| [ams-nist-cis-efs-cheque criptografado](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | EFS | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| [ams-nist-cis-eip-anexado](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html) | EC2 | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| [ams-nist-cis-elasticache- redis-cluster-automatic-backup -verificar](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | ElastiCache | Periódico | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: NA; |
| [ams-nist-cis-opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | OpenSearch | Periódico | Relatório | CIS: CIS.14, CIS.13; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| [ams-nist-cis-opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) | OpenSearch | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| [ams-nist-cis-elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | Certificate Manager | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.2.1,1.3.1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-elb-deletion-habilitado para proteção](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | ELB | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 4.1,8.2.1; |
| [ams-nist-cis-elb-habilitado para registro](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | ELB | Alterações de configuração | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164,312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-cis-emr-habilitado para kerberos](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | EMR | Periódico | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164,312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-cis-emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) | EMR | Periódico | Relatório | CIS: CIS.14, CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.AC-6; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (3) (ii) (A) ,164,308 (a) (4) (3) (ii) (B)) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 7.2.1; |
| [ams-nist-cis-encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | EBS | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | GuardDuty | Periódico | Relatório | CIS: CIS.12, CIS.13, CIS.16, CIS.19, CIS.3, CIS.4, CIS.6, CIS.8; NIST-CSF: DE.AE-2, DE.AE-3, DE.CM-4, DE.DP-5, ID.RA-1, ID.RA-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (5) (ii) (C), 164.308 (a) (6) (ii), 164.312 (b); PCI: 6.1,11.4,5.1.2; |
| [ams-nist-iam-group-has-users-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-group-has-users-check.html) | IAM | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: PR.AC-4, PR.AC-1; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i), 164,308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 7.1.2, 7.1.3, 7.2.1, 7.2.2; |
| [ams-nist-cis-iam- policy-no-statements-with -acesso de administrador](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | IAM | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-6, PR.AC-7; HIPAA: 164.308 (a) (4) (ii) (B), 164.308 (a) (5) (ii) (D), 164.312 (d); PCI: 8.2.3,8.2.4,8.2.5; |
| [ams-nist-cis-iam-user-group-membership-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-group-membership-check.html) | IAM | Alterações de configuração | Relatório | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4)) (ii) (C), 164.312 (a) (1), 164.312 (a) (2) (i); PCI: 2.2.7.1.2, 7.2.1, 8.1.1; |
| [ams-nist-cis-iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | IAM | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-7; HIPAA: 164,308 (a) (4) (ii) (B), 164,312 (d); PCI: 8,3; |
| [ams-nist-cis-iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | IAM | Periódico | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 2.2.7.1.2,7.1.3,7.2.1,7.2.2; |
| [ams-nist-cis-ec2- instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | EC2 | Alterações de configuração | Relatório | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) 4.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3.2.2.2.2; |
| [ams-nist-cis-internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) | Gateway da Internet | Periódico | Relatório | CIS: CIS.9, CIS.12; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| [ams-nist-cis-kms- cmk-not-scheduled-for -exclusão](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | KMS | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: NA; PCI: 3,5,3,6; |
| [ams-nist-lambda-concurrency-verificar](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | Lambda | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| [ams-nist-lambda-dlq-verificar](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | Lambda | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| [ams-nist-cis-lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | Lambda | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,2.2.2; |
| [ams-nist-cis-lambda-interior-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) | Lambda | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,2.2.2; |
| [ams-nist-cis-mfa- enabled-for-iam-console -acesso](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | IAM | Periódico | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-7; HIPAA: 164,312 (d); PCI: 2,2,8,3; |
| [ams-nist-cis-multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | CloudTrail | Periódico | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.12,10.2.2,10.2.2,10.2.3,10.2.0.2,5, 10.2.6, 10.2.7, 10.3.1,10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| [ams-nist-rds-enhanced-habilitado para monitoramento](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | RDS | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| [ams-nist-cis-rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | RDS | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | RDS | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C); PCI: NA; |
| [ams-nist-cis-rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | RDS | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-rds-armazenamento criptografado](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | RDS | Alterações de configuração | Relatório | CIS: CIS.13, CIS.5, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4,10.1,10.2.2.1,10.2.2, 10.2.3, 10.2.4, 10.2.5, 10.3.1,10.3.2, 10.3.3, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 8.2.1; |
| [ams-nist-cis-redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | RedShift | Alterações de configuração | Relatório | CIS: CIS.6, CIS.13, CIS.5; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1,10.10.0.2.1,10.2.2, 10.2.3, 10.2.4, 10.2.5, 10.3.1,10.3.2, 10.3.3, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| [ams-nist-cis-redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | RedShift | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | RedShift | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (i), 164.312 (e) (2) (ii); PCI: 2.3,4.1; |
| [ams-nist-cis-root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | IAM | Periódico | Relatório | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164,312 (d); PCI: 2,2,8,3; |
| [ams-nist-cis-root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | IAM | Periódico | Relatório | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164,312 (d); PCI: 2,2,8,3; |
| [ams-nist-cis-s3- bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | S3 | Alterações de configuração | Relatório | CIS: CIS.14, CIS.13; NIST-CSF: ID.BE-5, PR.PT-5, RC.RP-1; HIPAA: NA; PCI: NA; |
| [ams-nist-cis-s3- bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | S3 | Alterações de configuração | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.2,10.2.2,10.2.3,10.2.4,10.2.7,10., 10.3.1,10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| [ams-nist-cis-s3- bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | S3 | Alterações de configuração | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: 2,2, 10,5,3; |
| [ams-nist-cis-s3- bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | S3 | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (c) (2), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.2,4.1, 8.2.1; |
| [ams-nist-cis-s3- bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | S3 | Periódico | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.DS-6, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B), 164,312 (c) (1), 164,312 (c) (2); PCI: 10.5.3; |
| [ams-nist-cis-sagemaker- endpoint-configuration-kms-key -configurado](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| [ams-nist-cis-sagemaker- notebook-instance-kms-key -configurado](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| [ams-nist-cis-sagemaker- notebook-no-direct-internet -acesso](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | SageMaker | Periódico | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.2.1,1.3.1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html) | Secrets Manager | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| [ams-nist-cis-secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | Secrets Manager | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| [ams-nist-cis-sns-kms criptografado](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | SNS | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 8.2.1; |
| [ams-nist-cis-vpc- -portas sg-open-only-to autorizadas](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | VPC | Alterações de configuração | Relatório | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,2.2.2; |
| [ams-nist-vpc-vpn-2 túneis acima](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | VPC | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| [ams-cis-ec2- ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | EC2 | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 2.2,3.4,8.2.1; |
| [ams-cis-rds-snapshot-criptografado](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | RDS | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| [ams-cis-redshift-cluster- configurações de manutenção - verificar](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | RedShift | Alterações de configuração | Relatório | CIS: CIS.5; NIST-CSF: PR.DS-4, PR.IP-1, PR.IP-4; HIPAA: 164,308 (a) (5) (ii) (A), 164,308 (a) (7) (ii) (A); PCI: 6,2; |
## Respostas às violações no Accelerate
Todas as violações do Config Rule aparecem no seu relatório de configuração. Essa é uma resposta universal. Dependendo da *categoria de remediação* (severidade) da regra, o AMS pode tomar medidas adicionais, resumidas na tabela a seguir. Para obter detalhes sobre como personalizar o *Código de Ação* para determinadas regras, consulte[Descobertas e respostas personalizadas](custom-findings-responses.md).
**Ações de remediação**
| Código de ação | Ações do AMS |
| --- |--- |
| Relatório | [Adicionar ao relatório de configuração](#acc-sec-compliance-response-universal) |
| O incidente | [Adicionar ao relatório de configuração](#acc-sec-compliance-response-universal) [Relatório automático de incidentes no Accelerate](#acc-sec-compliance-response-incident) |
| Remediar | [Adicionar ao relatório de configuração](#acc-sec-compliance-response-universal) [Relatório automático de incidentes no Accelerate](#acc-sec-compliance-response-incident) [Remediação automática no Accelerate](#acc-sec-compliance-response-autoremediate) |
**Solicitando ajuda adicional**
**nota**
O AMS pode remediar qualquer violação para você, independentemente de sua categoria de remediação. Para solicitar ajuda, envie uma solicitação de serviço e indique quais recursos você deseja que o AMS corrija com um comentário como “Como parte da correção da regra de configuração do AMS, corrija o *RESOURCE\$1ARNS\$1OR\$1IDs* recurso de recursos não reclamados ARNs/IDs>, regra de configuração *CONFIG\$1RULE\$1NAME* na conta” e adicione as entradas necessárias para remediar a violação.
O AMS Accelerate tem uma biblioteca de documentos de AWS Systems Manager automação e runbooks para ajudar na correção de recursos não compatíveis.
### Adicionar ao relatório de configuração
O AMS gera um Config Report que rastreia o status de conformidade de todas as regras e recursos em sua conta. Você pode solicitar o relatório do seu CSDM. Você também pode revisar o status de conformidade no console AWS Config, na AWS CLI ou na API Config. AWS Seu Config Report inclui:
+ Os principais recursos incompatíveis em seu ambiente para descobrir possíveis ameaças e configurações incorretas
+ Conformidade de recursos e regras de configuração ao longo do tempo
+ Configure as descrições das regras, a severidade das regras e as etapas de correção recomendadas para corrigir recursos não compatíveis
Quando qualquer recurso entra em um estado não compatível, o status do recurso (e o status da regra) se torna **Não compatível em** seu Config Report. Se a regra pertencer à categoria de remediação **Config Report Only**, por padrão, o AMS não tomará nenhuma ação adicional. Você sempre pode criar uma solicitação de serviço para solicitar ajuda adicional ou remediação do AMS.
Para obter mais detalhes, consulte [AWS Config Reporting.](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/on-request-reporting.html#acc-report-config-control-compliance)
### Relatório automático de incidentes no Accelerate
Para violações de regras moderadamente graves, o AMS cria automaticamente um Relatório de Incidente para notificá-lo de que um recurso entrou em um estado de não conformidade e pergunta quais ações você gostaria que fossem realizadas. Você tem as seguintes opções ao responder a um incidente:
+ Solicite que o AMS corrija os recursos não compatíveis listados no incidente. Em seguida, tentamos corrigir o recurso não compatível e notificá-lo assim que o incidente subjacente for resolvido.
+ Você pode resolver o item não compatível manualmente no console ou por meio de seu sistema de implantação automatizado (por exemplo, atualizações do modelo do CI/CD Pipeline); então, você pode resolver o incidente. O recurso não compatível é reavaliado de acordo com o cronograma da regra e, se o recurso for avaliado como não compatível, um novo relatório de incidentes será criado.
+ Você pode optar por não resolver o recurso não compatível e simplesmente resolver o incidente. Se você atualizar a configuração do recurso posteriormente, o AWS Config acionará uma reavaliação e você será novamente alertado para avaliar a não conformidade desse recurso.
### Remediação automática no Accelerate
As regras mais críticas pertencem à categoria **Auto Remediate**. A não conformidade com essas regras pode afetar fortemente a segurança e a disponibilidade de suas contas. Quando um recurso viola uma dessas regras:
1. O AMS notifica você automaticamente com um relatório de incidente.
1. O AMS inicia uma remediação automatizada usando nossos documentos SSM automatizados.
1. O AMS atualiza o Relatório de Incidentes com sucesso ou falha da remediação automatizada.
1. Se a correção automatizada falhar, um engenheiro da AMS investiga o problema.
## Criação de exceções de regras no Accelerate
O Regras do AWS Config recurso de exceção de recursos permite que você suprima a emissão de relatórios de recursos específicos e não compatíveis para regras específicas.
**nota**
Os recursos isentos ainda aparecem como **Não compatíveis no console** do Config AWS Service. Os recursos isentos aparecem com um sinalizador especial em Config Reports (resource\$1exception:true). Você CSDMs pode filtrar esses recursos de acordo com essa coluna ao gerar relatórios.
Se você tem recursos que sabe que não estão em conformidade, você pode eliminar um recurso específico para uma regra de configuração específica em seus Relatórios de Configuração. Para fazer isso:
Envie uma solicitação de serviço para o Accelerate em sua conta, com uma lista das regras e recursos de configuração que devem ser isentos do relatório. Você deve fornecer uma justificativa comercial explícita (por exemplo, não é necessário denunciar isso *resource\$1name\$11* e *resource\$1name\$12* não fazer backup porque não queremos que seja feito backup). Para obter ajuda para enviar uma solicitação de serviço do Accelerate, consulte[Criando uma solicitação de serviço no Accelerate](creating-a-sr.md).
Cole na solicitação as seguintes entradas (para cada recurso, adicione um bloco separado com todos os campos obrigatórios, conforme mostrado) e envie:
```
[
{
"resource_name": "resource_name_1",
"config_rule_name": "config_rule_name_1",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
},
{
"resource_name": "resource_name_2",
"config_rule_name": "config_rule_name_2",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
}
]
```
## Reduza AWS Config custos no Accelerate
Você pode reduzir os custos do AWS Config usando a opção de registrar periodicamente o tipo de `AWS::EC2::Instance` recurso. A gravação periódica captura as últimas alterações de configuração de seus recursos uma vez a cada 24 horas, reduzindo o número de alterações entregues. Quando ativado, registra AWS Config somente a configuração mais recente de um recurso no final de um período de 24 horas. Isso permite que você personalize os dados de configuração para casos de uso específicos de planejamento operacional, conformidade e auditoria que não exigem monitoramento contínuo. Essa alteração é recomendada somente se você tiver aplicativos que dependem de arquiteturas efêmeras, o que significa que você aumenta ou diminui constantemente o número de instâncias.
Para optar pela gravação periódica do tipo de `AWS::EC2::Instance` recurso, entre em contato com a equipe de entrega do AMS.
# Descobertas e respostas personalizadas
Você pode escolher como deseja que o AMS Accelerate responda a algumas descobertas (regras de configuração não compatíveis). Você pode configurar o AMS para responder às descobertas, corrigindo a descoberta, solicitando sua aprovação para remediar ou apenas reportando a você em sua próxima Análise Empresarial Mensal (MBR). Você pode alterar as respostas padrão das regras do AMS Accelerate Config. Para ver as regras, acesse [Conformidade de configuração > Tabela de regras](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html) ou baixe a tabela de regras como um arquivo ZIP [ams\$1config\$1rules.zip](samples/ams_config_rules.zip).
Alterar as respostas padrão ajuda você a aumentar o estado de segurança e conformidade da sua conta, permitindo que mais descobertas sejam corrigidas. Quando você corrige mais descobertas, você tem menos casos que precisam esperar por uma revisão e aprovação manuais. A extensa biblioteca de runbooks de remediação do AMS corrige constantemente recursos não compatíveis e você é contatado somente quando necessário.
As respostas personalizadas são usadas somente com novos recursos ou recursos existentes com novos eventos. Por exemplo, um recurso que não está em conformidade após uma alteração. Isso ocorre porque os recursos mais antigos tendem a exigir uma inspeção mais profunda antes da remediação e é mais fácil impor a remediação de recursos à medida que são criados ou alterados. Para solicitar a correção da descoberta de qualquer recurso a qualquer momento, envie uma solicitação de serviço.
## Solicitando uma alteração nas respostas padrão
Os Cloud Architects (CAs) trabalham com você durante a integração para coletar suas preferências. CAsem seguida, configure a configuração inicial em sistemas AMS internos. Depois de integrado, crie uma solicitação de serviço para solicitar atualizações em suas configurações. Você pode solicitar atualizações de configuração quantas vezes forem necessárias. Observe que o Operations atualiza somente as configurações da conta na qual a solicitação de serviço foi criada. Se você precisar atualizar várias contas ao mesmo tempo, entre em contato com seu Cloud Architect. Sua CA solicitará que você corte uma solicitação de serviço com suas preferências para fins de auditoria.
## Alterando as respostas padrão para suas descobertas e contas
Você sempre precisa de uma preferência de resposta para cada conta e descoberta. O AMS fornece uma resposta padrão (consulte [Conformidade de configuração](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)), portanto, essa configuração é opcional. Você pode alterar as respostas padrão para cada descoberta para as seguintes opções:
+ Remediar: o AMS corrige manualmente ou automaticamente a descoberta. O AMS analisa a remediação e informa se ela falhar.
+ Solicitar aprovação: o AMS cria um caso de saída para notificá-lo sobre a descoberta. Use essa opção quando quiser revisar a descoberta antes de aprovar sua remediação ou isentá-la. O AMS então executa a ação que você preferir.
+ Nenhuma ação (somente relatório): a AMS não toma nenhuma ação para remediar ou intensificar a descoberta. As descobertas ainda podem aparecer no console e nos relatórios apresentados durante MBRs.
**nota**
Você não pode alterar a configuração das regras que devem ser corrigidas pelo AMS. Por exemplo, habilitar Amazon GuardDuty e VPC Flow Logs.
## Alteração das respostas padrão por recursos
Você pode configurar ainda mais a resposta a recursos específicos usando tags. Você pode usar suas tags preexistentes ou recursos de tag usando o Resource Tagger. Para obter detalhes, consulte[Acelere o marcador de recursos](acc-resource-tagger.md)). A configuração de recursos com tags tem precedência sobre a ação padrão para a descoberta. Quando um recurso tem várias tags com diferentes configurações associadas, o AMS não pode executar correções personalizadas. Em vez disso, o AMS envia uma solicitação de serviço de saída para informá-lo sobre a situação. Por exemplo, para a descoberta [bucket-server-side-encryptionhabilitada para s3, você pode:](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html)
+ Altere a resposta para 'remediar' buckets S3 não criptografados com o par de valores de chave de tag “Regulated: True”
+ Altere a resposta para “nenhuma ação” quando buckets S3 não criptografados tiverem as tags “Regulado: Falso” e
+ Altere a resposta padrão de buckets S3 não criptografados para “solicitar aprovação”. Isso se aplica a todos os buckets S3 que não têm as tags “Regulado: Verdadeiro” ou “Regulado: Falso”
Você também pode adicionar a entrada necessária para executar a resposta de busca personalizada. Por exemplo, para remediações que exigem uma chave de criptografia, você pode fornecer sua chave IDs ao AMS. Você pode alterar os parâmetros de entrada dos runbooks de remediação, mas o AMS não oferece suporte à integração com runbooks personalizados. Para obter uma descrição dos runbooks de remediação do AMS no Config Report, consulte. [AWS Config Relatório de conformidade de controle](acc-report-config-control-compliance.md)
# Resposta a incidentes no Accelerate
Ao receber um alerta, a equipe do AMS usa remediações automatizadas e manuais para trazer os recursos de volta a um estado saudável. Se a remediação falhar, o AMS inicia o processo de gerenciamento de incidentes para colaborar com sua equipe. Você pode alterar as linhas de base atualizando a configuração padrão em um arquivo de configuração.
## Resposta a incidentes e integração no AMS Accelerate
Durante a integração, o AMS Accelerate suprime a criação automática de incidentes para seus recursos não compatíveis existentes; em vez disso, seu Cloud Service Deliver Manager (CSDM) fornece um relatório que contém todas as regras e recursos de não conformidade para sua análise. Depois de identificar as regras que você deseja que o AMS corrija, crie uma solicitação de serviço no console Suporte central indicando essas regras e recursos. O modelo de solicitação de serviço a seguir é um exemplo de uma solicitação do cliente à AMS para corrigir manualmente os recursos não compatíveis. Se o AMS tiver dúvidas adicionais, trabalharemos com você na Solicitação de Serviço para coletar as informações necessárias.
```
Hello,
Please remediate the following resources for the Config Rule "ENCRYPTED_VOLUMES".
Resource List:
"Vol-12345678"
"Vol-87654312"
Thank you
```
Depois que o processo de integração for concluído, o AMS Accelerate cria automaticamente um incidente para cada recurso não compatível com as regras marcadas como Incidente automático.
# Resiliência em aceleração
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, você pode projetar e operar aplicativos e bancos de dados que realizam o failover automático entre as zonas sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis do que as infraestruturas tradicionais de data center único ou múltiplo.
Para obter mais informações Regiões da AWS e zonas de disponibilidade, consulte [infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure).
Para obter informações sobre o gerenciamento de continuidade do AMS Accelerate, consulte[Gerenciamento de continuidade no AMS Accelerate](acc-backup.md).
# Controle de segurança para sistemas end-of-support operacionais
Os sistemas operacionais que estão fora do período de suporte geral do fabricante do sistema operacional "end-of-support" ou EOS e não recebem atualizações de segurança têm um risco de segurança maior.
AWS oferece alguns serviços para ajudar no manuseio do sistema operacional end-of-support. Para obter informações sobre o Windows end-of-support, consulte [Programa de End-of-Support migração para Windows Server](https://aws.amazon.com/emp-windows-server/).
**nota**
Informações adicionais sobre esse tópico estão disponíveis acessando os relatórios do AWS Artifact. Para obter mais informações, consulte [Fazer download dos relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Essas informações não estão incluídas neste guia do usuário porque contêm conteúdo de segurança confidencial.
# Melhores práticas de segurança no Accelerate
O AMS Accelerate usa pacotes de conformidade, que fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando ações gerenciadas ou personalizadas e de remediação. Regras do AWS Config AWS Config Para obter informações sobre a melhor forma de configurar esses pacotes de conformidade, consulte AWS Config as Melhores Práticas Operacionais para o [NIST CSF e as Melhores Práticas Operacionais para as](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist-csf.html) [20 Melhores Práticas](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-cis_top_20.html) do CIS.
# Revisões de segurança da solicitação de alteração
O processo de revisão da solicitação de alteração do AWS Managed Services garante que o AMS realize uma análise de segurança das alterações solicitadas à medida que elas são implementadas em seu nome em sua conta.
[Padrões técnicos do AMS Accelerate](acc-sec-technical-standards.md)defina os critérios, configurações e processos mínimos de segurança para estabelecer a segurança básica de suas contas. Quando o AMS implementa as mudanças solicitadas, seguimos esses padrões.
O AMS avalia todas as solicitações de alteração de acordo com os padrões técnicos do AMS. Qualquer alteração que possa diminuir a postura de segurança da sua conta ao se desviar dos padrões técnicos passa por um processo de revisão de segurança. Durante esse processo, o risco relevante é destacado pela AMS e revisado e aprovado por seu aprovador de riscos autorizado para equilibrar as necessidades comerciais e de segurança.
# Processo de gerenciamento de riscos de segurança do cliente
O processo AMS Accelerate Customer Security Risk Management (CSRM) ajuda a identificar e comunicar claramente os riscos aos proprietários certos. Esse processo minimiza os riscos de segurança em seu ambiente e reduz a sobrecarga operacional contínua dos riscos identificados.
Por padrão, quando alguém da sua organização solicita que o AMS implemente uma alteração em seu ambiente gerenciado, o AMS analisa a alteração para determinar se a solicitação está fora dos padrões técnicos, o que pode alterar a postura de segurança da sua conta. Se houver um risco de segurança alto ou muito alto, a revisão da alteração será aceita ou rejeitada pela equipe de segurança autorizada. As alterações solicitadas também são avaliadas quanto aos efeitos adversos na capacidade da AMS de operar a conta. Se a revisão encontrar possíveis impactos adversos, revisões e aprovações adicionais serão necessárias dentro da AMS.
Você pode optar por não participar do fluxo de trabalho baseado em aprovação no processo de CSRM para riscos altos ou muito altos. Para alterar a opção CSRM para contas específicas de **CSRM padrão** para **Somente notificação**, trabalhe com seus gerentes de entrega de serviços em nuvem para criar uma aceitação de risco única. Se você optar por continuar com a opção **Somente notificação**, o AMS implementará as alterações solicitadas, independentemente da categoria de risco. Além disso, o AMS envia uma notificação de risco para seus aprovadores de risco autorizados em vez de buscar aprovação antes da implementação da mudança. Fale com seus arquitetos de nuvem ou gerentes de entrega de serviços em nuvem para obter mais informações sobre o processo de CSRM do AMS, como alterar a opção de CSRM padrão ao integrar novas contas do AMS ou como atualizar as contas existentes.
**nota**
O AMS recomenda fortemente que você use a opção **padrão de CSRM** padrão em todas as suas contas.
# Padrões técnicos do AMS Accelerate
A seguir estão as categorias de padrões técnicos do Accelerate:
| ID | Categoria |
| --- | --- |
| AMS-STD-X002 | AWS Identity and Access Management |
| AMS-STD-X003 | Segurança de rede |
| AMS-STD-X004 | Teste de penetração |
| AMS-STD-X005 | Amazon GuardDuty |
| AMS-STD-X007 | Registro em log |
# Controles padrão no AMS Accelerate
A seguir estão os controles padrão no AMS:
## AMS-STD-X002 - (IAM) AWS Identity and Access Management
| ID | Padrão técnico |
| --- | --- |
| 1.0 | Duração do tempo limite |
| 1.1 | O tempo limite padrão de uma sessão de usuário federado é de uma hora e pode ser aumentado para até quatro horas. |
| 1.2 | O tempo limite da sessão RDP para o Microsoft Windows Server está definido para 15 minutos e pode ser estendido com base no caso de uso. |
| 2.0 | AWS Uso da conta raiz |
| 2.1 | Se houver uso da conta raiz por qualquer motivo, a Amazon GuardDuty deverá ser configurada para gerar descobertas relevantes. |
| 2.2 | As chaves de acesso para a conta raiz não devem ser criadas. |
| 3.0 | Criação e modificação de usuários |
| 3.1 | O IAM users/roles com acesso programático e com permissões somente de leitura pode ser criado sem nenhuma política de tempo limitado. No entanto, a permissão para permitir a leitura de objetos (por exemplo, S3:GetObject) em todos os buckets do Amazon Simple Storage Service na conta não é permitida. |
| 3.1.1 | Usuários humanos do IAM para acesso ao console e com permissões somente de leitura podem ser criados com a política de limite de tempo (até 180 dias), enquanto a política com limite removal/renewal/extension de tempo resultará na notificação de risco. No entanto, a permissão para permitir a leitura de objetos (por exemplo, S3:GetObject) em todos os buckets do S3 na conta não é permitida. |
| 3.2 | Os usuários e funções do IAM para acesso programático e de console com quaisquer permissões que alterem a infraestrutura (gravação e gerenciamento de permissões) na conta do cliente não devem ser criados sem a aceitação do risco. Existem exceções para permissões de gravação em nível de objeto do S3, que são permitidas sem aceitação de riscos, desde que os buckets específicos estejam no escopo e nas operações de marcação em tags não relacionadas ao AMS. |
| 3.3 | Nos servidores Microsoft Windows, somente a Conta de Serviço Gerenciada do Grupo Microsoft (gMSA) deve ser criada. |
| 4,0 | Políticas, ações e APIs |
| 4.4 | Uma política não deve fornecer acesso ao administrador com uma declaração equivalente a “Efeito”: “Permitir” com “Ação”: “\$1” sobre “Recurso”: “\$1” sem aceitação de risco. |
| 4.6 | As chamadas de API contra políticas de chaves do KMS para chaves de infraestrutura do AMS nas políticas de IAM do cliente não devem ser permitidas. |
| 4.8 | Ações que alterem os registros DNS da infraestrutura do AMS no Amazon Route 53 não devem ser permitidas. |
| 4,9 | Usuários humanos do IAM com acesso ao console criado após seguirem o devido processo legal não devem ter nenhuma política anexada diretamente, exceto a política de confiança, a política de assumir funções e a política de limite de tempo. |
| 4.10 | Perfis de EC2 instância da Amazon com acesso de leitura a um segredo ou namespace específico AWS Secrets Manager na mesma conta podem ser criados. |
| 4.12 | A política do IAM não deve incluir nenhuma ação que inclua a ação Permitir registros: DeleteLogGroup e registros: DeleteLogStream em qualquer grupo de CloudWatch registros do AMS Amazon. |
| 4.13 | As permissões para criar chaves multirregionais não devem ser permitidas. |
| 4.14 | O acesso ao ARN do bucket do S3 que ainda não foi criado nas contas do cliente pode ser fornecido restringindo o acesso aos compartimentos às contas do cliente por meio da especificação do número da conta usando a chave de condição S3 específica do serviço s3:. ResourceAccount |
| 4.15.1 | Você pode visualizar, criar, listar e excluir o acesso ao painel personalizado da lente de armazenamento do S3. |
| 4.16 | Permissões completas relacionadas ao SQL Workbench podem ser concedidas roles/users para trabalhar nos bancos de dados do Amazon Redshift. |
| 4.17 | Qualquer AWS CloudShell permissão pode ser concedida às funções do cliente como alternativa à CLI. |
| 4.18 | Uma função do IAM com o AWS serviço como principal confiável também precisa estar alinhada com os padrões técnicos do IAM. |
| 4.19 | As funções vinculadas ao serviço (SLRs) não estão sujeitas aos padrões técnicos do AMS IAM, pois são criadas e mantidas pela equipe de serviço do IAM. |
| 4.20 | A política do IAM não deve permitir a leitura de objetos (por exemplo, S3:GetObject) em todos os buckets do S3 na conta. |
| 4.21 | Todas as permissões do IAM para o tipo de recurso “savingsplan” podem ser concedidas aos clientes. |
| 4.22 | O engenheiro do AMS não tem permissão para copiar ou mover dados do cliente (arquivos, objetos do S3, bancos de dados etc.) manualmente em nenhum dos serviços de armazenamento de dados, como Amazon S3, Amazon Relational Database Service, Amazon DynamoDB, etc., nem no sistema de arquivos do sistema operacional. |
| 6.0 | Políticas de contas cruzadas |
| 6.1 | As funções do IAM, as políticas de confiança entre contas do AMS que pertencem ao mesmo cliente, de acordo com os registros do cliente, podem ser configuradas. |
| 6.2 | As políticas de confiança das funções do IAM entre contas AMS e não AMS devem ser configuradas somente se a conta não AMS pertencer ao mesmo cliente do AMS (confirmando que elas estão na mesma AWS Organizations conta ou combinando o domínio de e-mail com o nome da empresa do cliente). |
| 6.3 | As políticas de confiança das funções do IAM entre contas do AMS e contas de terceiros não devem ser configuradas sem a aceitação do risco. |
| 6.4 | Políticas entre contas para acessar qualquer cliente gerenciado CMKs entre contas AMS do mesmo cliente podem ser configuradas. |
| 6.5 | Políticas entre contas para acessar qualquer chave KMS em uma conta não AMS por meio de uma conta AMS podem ser configuradas. |
| 6.6 | As políticas entre contas para acessar qualquer chave KMS em uma conta AMS por uma conta de terceiros não devem ser permitidas sem a aceitação do risco. |
| 6.6.1 | As políticas entre contas para acessar qualquer chave KMS em uma conta AMS por uma conta não AMS só podem ser configuradas se a conta não AMS pertencer ao mesmo cliente do AMS. |
| 6.7 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) entre contas AMS do mesmo cliente podem ser configuradas. |
| 6.8 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) em uma conta não AMS a partir de uma conta AMS com acesso somente leitura podem ser configuradas. |
| 6.9 | Políticas entre contas para acessar quaisquer dados ou recursos de bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) com permissões de gravação do AMS para uma conta que não seja do AMS (ou de uma conta que não seja do AMS para o AMS) devem ser configuradas somente se a conta não AMS pertencer ao mesmo cliente do AMS (confirmando que eles estão na mesma conta ou combinando o domínio de e-mail). com AWS Organizations o nome da empresa do cliente). |
| 6.10 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) em uma conta de terceiros a partir de uma conta AMS com acesso somente leitura podem ser configuradas. |
| 6.11 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) em uma conta de terceiros a partir de uma conta AMS com acesso de gravação não devem ser configuradas. |
| 6.12 | Políticas entre contas de contas de terceiros para acessar um bucket S3 de um cliente do AMS ou recursos nos quais os dados podem ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) não devem ser configuradas sem a aceitação do risco. |
| 7.0 | User Groups (Grupos de usuários) |
| 7.1 | Grupos do IAM com permissões somente de leitura e não mutativas são permitidos. |
| 8.0 | Políticas baseadas em recurso |
| 8.4 | Os recursos de infraestrutura do AMS devem ser protegidos do gerenciamento por identidades não autorizadas por meio da anexação de políticas baseadas em recursos. |
| 8.2 | Os recursos do cliente devem ser configurados com políticas baseadas em recursos com privilégios mínimos, a menos que o cliente especifique explicitamente uma política diferente. |
## AMS-STD-X003 - Segurança de rede
A seguir está o controle padrão para X003 - Network Security:
| ID | Padrão técnico |
| --- | --- |
| | Redes |
| 1,0 | Reservado para controle futuro |
| 2,0 | O IP elástico em EC2 instâncias é permitido |
| 3.0 | O plano de controle AMS e, por extensão, no plano de dados TLS 1.2\$1 devem ser usados. |
| 5,0 | Um grupo de segurança não deve ter origem como 0.0.0.0/0 na regra de entrada se não estiver conectado a um balanceador de carga conforme 9.0 |
| 6.0 | O bucket ou os objetos do S3 não devem ser tornados públicos sem a aceitação do risco. |
| 7.0 | O acesso ao gerenciamento de servidores nas portas SSH/22 ou SSH/2222 (não SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 ou 1604, LDAP/389 ou 636 e RPC/135, NETBIOS/137-139 não deve ser permitido de fora da VM VPC por meio de grupos de segurança. |
| 8.0 | O acesso ao gerenciamento de banco de dados em portas (MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433) ou em portas personalizadas não deve ser permitido do público, não roteado para VPC sobre DX, VPC-peer ou VPN via grupo de segurança. IPs |
| 8.1 | Qualquer recurso em que os dados do cliente possam ser armazenados não deve ser exposto diretamente à Internet pública. |
| 9.0 | O acesso direto a aplicativos pela porta HTTP/80, HTTPS/8443 e HTTPS/443 da Internet é permitido somente para balanceadores de carga, mas não para nenhum recurso de computação diretamente, por exemplo, instâncias, contêineres etc. EC2 ECS/EKS/Fargate |
| 10.0 | O acesso de aplicativos pelas portas HTTP/80 e HTTPS/443 a partir do intervalo de IP privado do cliente pode ser permitido. |
| 11.0 | Quaisquer alterações nos grupos de segurança que controlam o acesso à infraestrutura do AMS não devem ser permitidas sem a aceitação do risco. |
| 12.0 | O AMS Security consultará os padrões sempre que for solicitado que um grupo de segurança seja anexado a uma instância. |
| 14.0 | A associação entre contas de zonas hospedadas privadas com contas VPCs de AMS para contas não AMS (ou não AMS para AMS) deve ser configurada somente se a conta não AMS pertencer ao mesmo cliente AMS (confirmando que elas estão na mesma conta da AWS Organization ou combinando o domínio de e-mail com o nome da empresa do cliente) usando ferramentas internas. |
| 15.0 | Conexões de emparelhamento de VPC entre contas que pertencem ao mesmo cliente podem ser permitidas. |
| 16,0 | A base do AMS AMIs pode ser compartilhada com contas que não sejam da AMS, desde que ambas sejam de propriedade do mesmo cliente (confirmando que estão na mesma AWS Organizations conta ou combinando o domínio do e-mail com o nome da empresa do cliente) usando ferramentas internas. |
| 17.0 | A porta FTP 21 não deve ser configurada em nenhum grupo de segurança sem a aceitação do risco. |
| 18,0 | A conectividade de rede entre contas via gateway de trânsito é permitida, desde que todas as contas sejam de propriedade do cliente. |
| 19,0 | Não é permitido transformar uma sub-rede privada em pública |
| 20.0 | Conexões de emparelhamento de VPC com contas de terceiros (não pertencentes ao cliente) não devem ser permitidas. |
| 21,0 | A vinculação do Transit Gateway a uma conta de terceiros (não pertencente ao cliente) não deve ser permitida. |
| 22,0 | Qualquer tráfego de rede necessário para que o AMS forneça os serviços aos clientes não deve ser bloqueado no ponto de saída da rede do cliente. |
| 23,0 | A solicitação de ICMP recebida da infraestrutura EC2 do cliente para a Amazon exigirá uma notificação de risco. |
| 24,0 | Solicitações de entrada do público IPs roteadas para a Amazon VPC via DX, VPC-peer ou VPN via grupo de segurança são permitidas. |
| 25.0 | Solicitações de entrada de um público IPs não roteado para a Amazon VPC via DX, VPC-peer ou VPN via grupo de segurança exigiriam uma aceitação de risco. |
| 26,0 | A solicitação ICMP de saída da Amazon EC2 para qualquer destino é permitida. |
| 27,0 | Compartilhamento de grupos de segurança |
| 27.1 | Se um grupo de segurança atender a esse padrão de segurança, ele poderá ser compartilhado VPCs na mesma conta e entre contas na mesma organização. |
| 27.2 | Se um grupo de segurança não atender a esse padrão e uma aceitação de risco tiver sido exigida anteriormente para esse grupo de segurança, o uso do recurso de compartilhamento de grupos de segurança entre VPCs a mesma conta ou entre contas na mesma organização não será permitido sem a aceitação do risco para essa nova VPC ou conta. |
## AMS-STD-X004 - Teste de penetração
O seguinte é o controle padrão para X004 - Teste de penetração
1. O AMS não oferece suporte à infraestrutura de pentest. É responsabilidade do cliente. Por exemplo, o Kali não é uma distribuição Linux compatível com AMS.
1. Os clientes precisam aderir aos [testes de penetração](https://aws.amazon.com/security/penetration-testing/).
1. O AMS deve ser pré-notificado com 24 horas de antecedência, caso o cliente deseje realizar testes de penetração de infraestrutura nas contas.
1. A AMS provisionará a infraestrutura de pentesting do cliente de acordo com os requisitos do cliente explicitamente declarados na solicitação de mudança ou solicitação de serviço do cliente.
1. O gerenciamento de identidade da infraestrutura de testes do cliente é de responsabilidade do cliente.
## AMS-STD-X005 - GuardDuty
A seguir está o controle padrão para o X005 - GuardDuty
1. GuardDuty deve estar habilitado em todas as contas de clientes em todos os momentos.
1. GuardDuty os alertas devem ser armazenados na mesma conta ou em qualquer outra conta gerenciada da mesma organização.
1. O recurso de lista de IP confiável do não GuardDuty deve ser usado. Em vez disso, o arquivamento automático pode ser usado como alternativa, o que é útil para fins de auditoria.
## AMS-STD-X007 - Registro
A seguir está o controle padrão para X007 - Logging
| ID | Padrão técnico |
| --- | --- |
| 1.0 | Tipos de registro |
| 1.1 | Registros do sistema operacional: todos os hosts devem registrar eventos mínimos de autenticação do host, eventos de acesso para todos os usos de privilégios elevados e eventos de acesso para todas as alterações no acesso e na configuração de privilégios, incluindo sucesso e falha. |
| 1.2 | AWS CloudTrail: o registro CloudTrail de eventos de gerenciamento deve ser ativado e configurado para entregar os registros a um bucket do S3. |
| 1.3 | Registros de fluxo de VPC: todos os registros de tráfego de rede devem ser registrados por meio de registros de fluxo de VPC. |
| 1.4 | Registro de acesso ao servidor Amazon S3: os buckets S3 obrigatórios do AMS que armazenam registros devem ter o registro de acesso ao servidor ativado. |
| 1.5 | AWS Config Snapshots: AWS Config devem registrar as alterações de configuração de todos os recursos suportados em todas as regiões e entregar os arquivos de instantâneos de configuração aos buckets do S3 pelo menos uma vez por dia. |
| 1,7 | Registros de aplicativos: os clientes têm o poder de ativar o login em seus aplicativos e armazená-los no grupo de registros de CloudWatch registros ou em um bucket do S3. |
| 1.8 | Registro em nível de objeto do S3: os clientes têm o poder de ativar o registro em nível de objeto em seus buckets do S3. |
| 1.9 | Registro de serviços: os clientes têm o poder de habilitar e encaminhar registros para serviços SSPS como qualquer serviço principal. |
| 1.10 | Registros do Elastic Load Balancing (Classic/Application Load Balancer/NetworkLoad Balancer): as entradas de registro de acesso e erro devem ser armazenadas nos buckets S3 gerenciados pelo AMS 2.0. |
| 2.0 | Controle de acesso |
| 2.3 | Os buckets S3 exigidos pela AMS que armazenam registros não devem permitir usuários de contas de terceiros como princípios nas políticas do bucket. |
| 2.4 | Os registros dos grupos de CloudWatch registros do Logs não devem ser excluídos sem a aprovação explícita do contato de segurança autorizado do cliente. |
| 3.0 | Retenção de registros |
| 3.1 | Os grupos de registros de CloudWatch registros exigidos pela AMS devem ter um período mínimo de retenção de 90 dias nos registros. |
| 3.2 | Os buckets S3 exigidos pela AMS que armazenam os registros devem ter um período mínimo de retenção de 18 meses nos registros. |
| 3.3 | AWS Backup os instantâneos devem estar disponíveis com retenção mínima de 31 dias nos recursos suportados. |
| 4,0 | Criptografia |
| 4.1 | A criptografia deve estar habilitada em todos os buckets do S3 exigidos pelas equipes do AMS que armazenam registros. |
| 4.2 | Qualquer encaminhamento de registros de contas de clientes para qualquer outra conta deve ser criptografado. |
| 5.0 | Integridade |
| 5.1 | O mecanismo de integridade do arquivo de log deve estar ativado. Isso significa configurar a “validação do arquivo de log” nas AWS CloudTrail trilhas exigidas pelas equipes do AMS. |
| 6.0 | Encaminhamento de registros |
| 6.1 | Qualquer registro pode ser encaminhado de uma conta AMS para outra conta AMS do mesmo cliente. |
| 6.2 | Qualquer registro pode ser encaminhado do AMS para uma conta não AMS somente se a conta não pertencer ao mesmo cliente do AMS (confirmando que eles estão na mesma AWS Organizations conta ou combinando o domínio do e-mail com o nome da empresa do cliente e a conta vinculada ao PAYER) usando ferramentas internas. |
# Alterações que introduzem riscos de segurança altos ou muito altos em seu ambiente
As alterações a seguir introduzem um risco de segurança alto ou muito alto em seu ambiente:
**AWS Identity and Access Management**
+ High\$1Risk-IAM-001: Crie chaves de acesso para a conta root
+ High\$1Risk-IAM-002: modificação da política de SCP para permitir acesso adicional
+ High\$1Risk-IAM-003: Modificação da política de SCP que pode quebrar a infraestrutura do AMS
+ High\$1Risk-IAM-004: Criação de um role/user com permissões de mutação de infraestrutura (gravação, gerenciamento de permissões ou marcação) na conta do cliente
+ High\$1Risk-IAM-005: as funções do IAM confiam nas políticas entre contas do AMS e contas de terceiros (não pertencentes ao cliente)
+ High\$1risk-IAM-006: políticas entre contas para acessar qualquer chave KMS de uma conta AMS por uma conta de terceiros)
+ High\$1Risk-IAM-007: políticas entre contas de terceiros para acessar um bucket S3 de um cliente AMS ou recursos nos quais os dados podem ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift)
+ High\$1risk-IAM-008: atribua as permissões do IAM com qualquer permissão de mutação de infraestrutura na conta do cliente
+ High\$1Risk-IAM-009: Permitir a listagem e a leitura de todos os buckets S3 na conta
**Segurança de rede**
+ High\$1Risk-Net-001: portas abertas de gerenciamento de sistema operacional SSH/22 ou SSH/2222 (não SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 ou 1604, LDAP/389 ou 636 e NETBIOS/137-139 da Internet
+ High\$1Risk-Net-002: Abra as portas de gerenciamento de banco de dados MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 ou qualquer porta de gerenciamento do cliente a partir da Internet
+ High\$1Risk-Net-003: abra as portas do aplicativo HTTP/80, HTTPS/8443 e HTTPS/443 diretamente em qualquer recurso computacional. Por exemplo, EC2 instâncias, ECS/EKS/Fargate contêineres etc. da Internet
+ High\$1Risk-Net-004: Qualquer alteração nos grupos de segurança que controlam o acesso à infraestrutura do AMS
+ High\$1Risk-Net-006: emparelhamento de VPC com a conta de terceiros (não de propriedade do cliente)
+ High\$1Risk-Net-007: Adicionando o firewall do cliente como ponto de saída para todo o tráfego do AMS
+ High\$1Risk-Net-008: A conexão do Transit Gateway com a conta de terceiros não é permitida
+ High\$1Risk-S3-001: Provisione ou habilite o acesso público no bucket do S3
**Registro em log**
+ High\$1Risk-log-001: Desativar. CloudTrail
+ High\$1risk-log-002: desative os registros de fluxo da VPC.
+ High\$1risk-log-003: encaminhamento de registros por meio de qualquer método (notificação de evento do S3, extração do agente SIEM, envio do agente do SIEM etc.) de uma conta gerenciada do AMS para uma conta de terceiros (não pertencente ao cliente)
+ High\$1Risk-log-004: Use uma trilha não AMS para CloudTrail
**Diversos**
+ High\$1Risk-ENC-001: Desative a criptografia em qualquer recurso se ela estiver ativada
# Perguntas frequentes sobre segurança
O AMS fornece suporte 24/7/365 follow-the-sun por meio de centros operacionais globais. Engenheiros de operações dedicados do AMS monitoram ativamente painéis e filas de incidentes. Normalmente, o AMS gerencia suas contas por meio da automação. Em raras circunstâncias que exigem experiência específica em solução de problemas ou implantação, um engenheiro de operações do AMS pode acessar suas AWS contas.
A seguir estão perguntas comuns sobre as melhores práticas de segurança, controles, modelos de acesso e mecanismos de auditoria que o AMS Accelerate usa quando um engenheiro de operações ou automação do AMS acessa suas contas.
## Quando os engenheiros de operações do AMS acessam meus ambientes?
Os engenheiros de operações do AMS não têm acesso permanente às suas contas ou instâncias. O acesso às contas dos clientes é concedido aos operadores do AMS somente para casos de uso comercial justificáveis, como alertas, incidentes, solicitações de alteração e assim por diante. O acesso é documentado em AWS CloudTrail registros.
Para justificativa de acesso, gatilhos e iniciadores de gatilhos, consulte. [Acionadores de acesso à conta do cliente do AMS](access-justification.md#access-mgmt-triggers)
## Quais funções os engenheiros de operações do AMS assumem quando acessam minhas contas?
Nos raros casos (\$1 5%) que exigem intervenção humana em seu ambiente, os engenheiros de operações do AMS fazem login em sua conta com uma função de acesso padrão somente para leitura. A função padrão não tem acesso a nenhum conteúdo normalmente armazenado em armazenamentos de dados, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache
Para obter uma lista das funções que os engenheiros de operações e sistemas do AMS exigem para fornecer serviços em sua conta, consulte[Funções do IAM para acesso à conta do cliente do AMS](access-justification.md#access-mgmt-iam-roles).
## Como um engenheiro de operações do AMS acessa minha conta?
Para acessar as contas dos clientes, os engenheiros de operações do AMS usam um serviço AWS interno de acesso ao AMS. Esse serviço interno está disponível somente por meio de um canal seguro e privado para que o acesso às suas contas seja seguro e auditado.
1. Os engenheiros de operações do AMS usam a autenticação interna do serviço de acesso AMS junto com uma autenticação de dois fatores. Além disso, o engenheiro de operações deve fornecer uma justificativa comercial (tíquete do incidente ou ID da solicitação de serviço) que descreva a necessidade de acessar sua AWS conta.
1. Com base na autorização do engenheiro de operação, o serviço de acesso do AMS fornece ao engenheiro a função apropriada (leituraonly/Operator/Admin) e a URL de login em seu AWS console. O acesso à sua conta é de curta duração e tem limite de tempo.
1. Para acessar as EC2 instâncias da Amazon, os engenheiros de operações do AMS usam o mesmo serviço de acesso interno do AMS que o agente. Depois que o acesso é concedido, os engenheiros de operações do AMS usam AWS Systems Manager Session Manager para acessar suas instâncias com credenciais de sessão de curta duração.
Para fornecer acesso RDP às instâncias do Windows, o engenheiro de operações usa o Amazon EC2 Systems Manager para criar um usuário local na instância e estabelecer o encaminhamento de portas para a instância. O engenheiro de operações usa credenciais de usuário local para acesso RDP à instância. As credenciais do usuário local são removidas no final da sessão.
O diagrama a seguir descreve o processo usado pelos engenheiros de operações do AMS para acessar sua conta:
![\[Método de acesso ao console AMS Accelerate.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
## Como faço para rastrear as alterações feitas pelo AMS em minhas AWS contas gerenciadas pelo AMS?
**Acesso à conta**
Para ajudá-lo a monitorar as alterações feitas pela automação ou pela equipe de operações do AMS Accelerate, o AMS fornece a interface SQL do **registro de alterações** no console do Amazon Athena e os registros do AMS Accelerate. Esses recursos fornecem as seguintes informações:
+ Quem acessou sua conta.
+ Quando a conta foi acessada.
+ Quais privilégios foram usados para acessar sua conta.
+ Quais alterações foram feitas pelo AMS Accelerate em sua conta.
+ Por que as alterações foram feitas em sua conta.
**Configuração de recursos**
Visualize CloudTrail registros para monitorar as configurações em seus AWS recursos nos últimos 90 dias. Se sua configuração for anterior a 90 dias, acesse os logs no Amazon S3.
**Registros de instâncias**
O Amazon CloudWatch Agent coleta registros do sistema operacional. Visualize os CloudWatch registros para ver os registros de login e outros registros de ações que seu sistema operacional suporta.
Para obter mais informações, consulte [Rastreando alterações em suas contas do AMS Accelerate](acc-change-record.md).
## Quais são os controles de processo para o acesso do engenheiro de operações do AMS à minha conta?
Antes de ingressar na AMS, os engenheiros de operações passam por uma verificação de antecedentes criminais. Como os engenheiros da AMS gerenciam a infraestrutura do cliente, eles também têm uma verificação anual obrigatória de antecedentes. Se um engenheiro falhar na verificação de antecedentes, o acesso será revogado.
Todos os engenheiros de operações da AMS devem concluir o treinamento obrigatório de segurança, como segurança da infraestrutura, segurança de dados e resposta a incidentes, antes de receberem acesso aos recursos.
## Como o acesso privilegiado é gerenciado?
Um subconjunto de usuários deve concluir um treinamento adicional e manter direitos de acesso privilegiado para acesso elevado. O acesso e o uso são inspecionados e auditados. O AMS limita o acesso privilegiado a circunstâncias excepcionais ou quando o acesso com privilégios mínimos não pode atender à sua solicitação. O acesso privilegiado também é limitado por tempo.
## Os engenheiros de operações da AMS usam o MFA?
Sim. Todos os usuários devem usar o MFA e o Proof of Presence para fornecer serviços a você.
## O que acontece com o acesso deles quando um funcionário da AMS deixa a organização ou muda de cargo?
O acesso às contas e aos recursos dos clientes é provisionado por meio da associação interna ao grupo. A associação é baseada em critérios rígidos, incluindo a função específica, o gerente de relatórios e a situação profissional no AMS. Se a família profissional de um engenheiro de operações mudar ou sua ID de usuário for desativada, o acesso será revogado.
## Quais controles de acesso regem o acesso do engenheiro operacional do AMS às minhas contas?
Há várias camadas de controles técnicos para aplicar os princípios de “necessidade de saber” e “privilégio mínimo” para acessar seu ambiente. A seguir está uma lista dos controles de acesso:
+ Todos os engenheiros de operações devem fazer parte de um AWS grupo interno específico para acessar as contas e os recursos dos clientes. A associação ao grupo é estritamente baseada na necessidade de conhecimento e automatizada com critérios predefinidos.
+ O AMS pratica o acesso “não persistente” ao seu ambiente. Isso significa que o acesso às suas AWS contas pelas operações do AMS é "just-in-time" com credenciais de curta duração. O acesso às suas contas é fornecido somente depois que uma justificativa interna de caso de negócios (solicitação de serviço, incidente, solicitação de gerenciamento de mudanças etc.) é enviada e analisada.
+ O AMS segue o princípio do menor privilégio. Portanto, os engenheiros de operações autorizados presumem o acesso somente leitura por padrão. O acesso de gravação só é usado por engenheiros quando mudanças em seu ambiente são necessárias devido a um incidente ou a uma solicitação de alteração.
+ O AMS usa AWS Identity and Access Management funções padrão e facilmente identificáveis que usam o prefixo “ams” para monitorar e gerenciar suas contas. Todo o acesso está logado AWS CloudTrail para você auditar.
+ O AMS usa ferramentas de back-end automatizadas para detectar alterações não autorizadas em sua conta durante a fase de validação das informações do cliente nas execuções de alterações.
## Como o AMS monitora o acesso do usuário root?
O acesso root sempre aciona o processo de resposta a incidentes. O AMS usa a GuardDuty detecção da Amazon para monitorar a atividade do usuário raiz. Se GuardDuty gerar um alerta, o AMS cria um evento para investigação adicional. O AMS notifica você se uma atividade inesperada da conta raiz for detectada, e a equipe de segurança do AMS inicia uma investigação.
## Como o AMS responde aos incidentes de segurança?
O AMS investiga eventos de segurança gerados por serviços de detecção, como Amazon GuardDuty, Amazon Macie, e por problemas de segurança relatados por clientes. O AMS colabora com sua equipe de resposta de segurança para executar o processo de Resposta a Incidentes de Segurança (SIR). O processo AMS SIR é baseado na estrutura do [Guia de Tratamento de Incidentes de Segurança de Computadores do NIST SP 800-61 Rev. 2 e fornece uma resposta de segurança 24 horas por dia,](https://csrc.nist.gov/pubs/sp/800/61/r2/final) 7 dias por semana, 365 dias por ano. follow-the-sun O AMS trabalha com você para analisar e conter rapidamente incidentes de segurança.
## A quais certificações e estruturas padrão do setor a AMS adere?
Como outros AWS serviços, o AWS Managed Services é certificado para OSPAR, HIPAA, HITRUST, GDPR, SOC\$1, ISO\$1, FedRAMP (médio/alto), IRAP e PCI. [Para obter mais informações sobre as certificações, regulamentações e estruturas de conformidade do cliente que AWS se alinham, consulte Conformidade da AWS.](https://aws.amazon.com/compliance/)
**Guardrails de segurança**
O AWS Managed Services usa vários controles para proteger seus ativos de informação e ajudar você a manter sua AWS infraestrutura segura. O AMS Accelerate mantém uma biblioteca de AWS Config regras e ações de remediação para ajudar você a garantir que suas contas estejam em conformidade com os padrões do setor de segurança e integridade operacional. AWS Config as regras rastreiam continuamente as alterações de configuração em seus recursos registrados. Se uma alteração violar as condições de uma regra, o AMS reporta suas descobertas para você. Você pode corrigir violações automaticamente ou mediante solicitação, de acordo com a gravidade da violação.
O AMS usa AWS Config regras para ajudar a atender aos requisitos dos seguintes padrões:
+ Centro de Segurança na Internet (CIS)
+ Estrutura de segurança em nuvem (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST)
+ Health Insurance Portability and Accountability Act (HIPAA)
+ Padrão de segurança de dados (DSS) do setor de cartões de pagamento (PCI)
Para obter mais informações, consulte [Gerenciamento de segurança no AMS Accelerate](acc-sec.md).
## Como posso ter acesso aos relatórios mais recentes sobre certificação de segurança, estruturas e conformidade em AWS?
Você pode encontrar relatórios atuais de segurança e conformidade para AWS serviços usando os seguintes métodos:
+ Você pode usar [AWS Artifact](https://aws.amazon.com/artifact/)para baixar o relatório mais recente sobre segurança, disponibilidade e confidencialidade de um AWS serviço.
+ Para obter uma lista da maioria dos AWS serviços, incluindo o AWS Managed Services, que estão em conformidade com as estruturas globais de conformidade, consulte. [https://aws.amazon.com/compliance/services-in-scope/](https://aws.amazon.com/compliance/services-in-scope/) Por exemplo, selecione **PCI** e pesquise por **AWS Managed Services**.
Você pode pesquisar por “AMS” para encontrar artefatos de segurança específicos do AMS em uma AWS conta gerenciada do AMS. O AWS Managed Services está no escopo do [SOC 3](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf).
+ O relatório AWS SOC 2 (System and Organizations Controls) é publicado no AWS Artifact repositório. Este relatório avalia os AWS controles que atendem aos critérios de segurança, disponibilidade e confidencialidade da seção 100 do TSP, Critérios de Serviços de Confiança do Instituto Americano de Contadores Públicos Certificados (AICPA).
## O AMS compartilha diagramas de arquitetura de referência de diferentes aspectos dos recursos do AMS?
Para ver a arquitetura de referência do AMS, baixe o [PDF do AWS Managed Services for Proactive Monitoring](samples/AWS-managed-services-for-operational-excellence-ra.zip).
## Como o AMS rastreia quem acessa minhas contas e qual é a necessidade de acesso da empresa?
Para apoiar a continuidade do serviço e a segurança de suas contas, o AMS acessa sua conta ou instâncias somente em resposta a atividades proativas de saúde ou manutenção, eventos de saúde ou segurança, atividades planejadas ou solicitações de clientes. O acesso às suas contas é autorizado por meio de processos do AMS, conforme descrito no [modelo de acesso do AMS Accelerate](acc-access-operator.md). Esses fluxos de autorização contêm barreiras para evitar acesso inadvertido ou inapropriado. Como parte do fluxo de acesso, a AMS fornece ao sistema de autorização uma necessidade comercial. Essa necessidade comercial pode ser um item de trabalho associado à sua conta, como um caso que você abriu com o AMS. Ou a necessidade comercial pode ser um fluxo de trabalho autorizado, como a solução Patching. Todo acesso exige uma justificativa que seja validada, verificada e autorizada em tempo real pelos sistemas internos da AMS com base nas regras de negócios para alinhar as solicitações de acesso a uma necessidade comercial.
Os engenheiros de operações do AMS não têm um caminho para acessar suas contas sem necessidades comerciais válidas. Todo o acesso à conta e a necessidade comercial associada são emitidos para AWS CloudTrail entradas dentro de suas AWS contas. Isso proporciona total transparência e a oportunidade de você realizar sua própria auditoria e inspeção. Além de sua inspeção, a AMS tem inspeções automatizadas e realiza inspeções manuais, conforme necessário, das solicitações de acesso e realiza auditorias de ferramentas e acesso humano para revisar o acesso anômalo.
## Os engenheiros do AMS têm acesso aos meus dados armazenados em serviços de armazenamento de AWS dados, como Amazon S3, Amazon RDS, DynamoDB e Amazon Redshift?
Os engenheiros do AMS não têm acesso ao conteúdo do cliente armazenado em AWS serviços que são comumente usados para armazenamento de dados. O acesso aos dados AWS APIs usados para ler, gravar, modificar ou excluir dados nesses serviços é restrito por uma política explícita de negação do IAM associada às funções do IAM usadas para acesso de engenheiros do AMS. Além disso, as proteções e automações internas do AMS impedem que os engenheiros de operações do AMS removam ou modifiquem as condições de negação.
## Os engenheiros do AMS têm acesso aos dados do cliente armazenados no Amazon EBS, no Amazon EFS e na Amazon FSx?
Os engenheiros do AMS podem fazer login nas EC2 instâncias da Amazon como administradores. O acesso do administrador é necessário para remediação em determinados cenários que incluem, mas não estão limitados a, problemas do sistema operacional (SO) e falhas de patch. Os engenheiros do AMS normalmente acessam o volume do sistema para corrigir problemas detectados. No entanto, o acesso dos engenheiros do AMS não é limitado ou restrito ao volume do sistema.
## Como o acesso é restrito ou controlado para funções de automação que têm altos privilégios em meus ambientes?
A `ams-access-admin` função é usada exclusivamente pela automação do AMS. Essas automações implantam, gerenciam e mantêm os recursos necessários usados pelo AMS para implantação em seus ambientes para coleta de dados de telemetria, saúde e segurança para realizar funções operacionais. Os engenheiros do AMS não podem assumir funções de automação e são restringidos pelo mapeamento de funções em sistemas internos. Em tempo de execução, o AMS aplica dinamicamente uma política de sessão de privilégios mínimos com escopo reduzido a cada automação. Essa política de sessão limita a capacidade e as permissões da automação.
## Como o AMS implementa o princípio do menor privilégio, conforme defendido no AWS Well-Architected Framework, para funções de automação?
Em tempo de execução, o AMS aplica uma política de sessão com escopo reduzido e com privilégios mínimos a cada automação. Essa política de sessão com escopo reduzido limita a capacidade e as permissões da automação. As políticas de sessão que têm permissões para criar recursos do IAM também precisam anexar um limite de permissão. Esse limite de permissão reduz o risco de escalonamento de privilégios. Cada equipe incorpora uma política de sessão que é usada somente por essa equipe.
## Quais sistemas de registro e monitoramento são usados para detectar tentativas de acesso não autorizado ou atividades suspeitas envolvendo funções de automação?
AWS mantém repositórios centralizados que fornecem a principal funcionalidade de arquivamento de registros para uso interno pelas AWS equipes de serviço. Esses registros são armazenados no Amazon S3 para alta escalabilidade, durabilidade e disponibilidade. AWS As equipes de serviço podem então coletar, arquivar e visualizar registros de serviço em um serviço de registro central.
Os hosts de produção em AWS são implantados usando imagens principais de linha de base. As imagens de linha de base são equipadas com um conjunto padrão de configurações e funções que incluem registro e monitoramento para fins de segurança. Esses registros são armazenados e acessíveis pelas equipes AWS de segurança para análise da causa raiz no caso de uma suspeita de incidente de segurança.
Os registros de um determinado host estão disponíveis para a equipe proprietária desse host. As equipes podem pesquisar seus registros para análise operacional e de segurança.
## Como os incidentes ou violações de segurança relacionados à infraestrutura de automação são tratados e quais protocolos ajudam na resposta e mitigação rápidas?
AWS planos de contingência e manuais de resposta a incidentes definiram e testaram ferramentas e processos para detectar, mitigar, investigar e avaliar incidentes de segurança. Esses planos e manuais incluem diretrizes para responder a possíveis violações de dados de acordo com os requisitos contratuais e regulamentares.
## Avaliações regulares de segurança, verificações de vulnerabilidade e testes de penetração são conduzidos na infraestrutura de automação?
AWS A segurança realiza varreduras regulares de vulnerabilidades nos sistemas operacionais, aplicativos web e bancos de dados do host no AWS ambiente usando uma variedade de ferramentas. AWS As equipes de segurança também assinam feeds de notícias sobre falhas aplicáveis do fornecedor e monitoram proativamente os sites dos fornecedores e outros veículos relevantes em busca de novos patches.
## Como o acesso à infraestrutura de automação é restrito somente ao pessoal autorizado?
O acesso aos AWS sistemas é alocado com base no menor privilégio e aprovado por uma pessoa autorizada. Os deveres e áreas de responsabilidade (por exemplo, solicitação e aprovação de acesso, solicitação e aprovação de gerenciamento de mudanças, desenvolvimento de mudanças, testes e implantação, etc.) são segregados entre diferentes indivíduos para reduzir a modificação não autorizada ou não intencional ou o uso indevido dos sistemas. AWS Contas em grupo ou compartilhadas não são permitidas dentro dos limites do sistema.
## Quais medidas são implementadas para manter os padrões de segurança e evitar acesso não autorizado ou violações de dados no pipeline de automação?
O acesso aos recursos, incluindo serviços, hosts, dispositivos de rede e grupos Windows e UNIX, é aprovado no sistema AWS proprietário de gerenciamento de permissões pelo proprietário ou gerente apropriado. O registro da ferramenta de gerenciamento de permissões captura solicitações de alterações de acesso. As alterações na função Job revogam automaticamente o acesso do funcionário aos recursos. O acesso contínuo desse funcionário deve ser solicitado e aprovado.
AWS requer autenticação de dois fatores em um canal criptográfico aprovado para autenticação na AWS rede interna a partir de locais remotos. Os dispositivos de firewall restringem o acesso ao ambiente de computação, impõem os limites dos clusters de computação e restringem o acesso às redes de produção.
Os processos são implementados para proteger as informações e ferramentas de auditoria contra acesso, modificação e exclusão não autorizados. Os registros de auditoria contêm um conjunto de elementos de dados para apoiar os requisitos de análise necessários. Além disso, os registros de auditoria estão disponíveis para usuários autorizados para inspeção ou análise sob demanda e em resposta a eventos relacionados à segurança ou que afetem os negócios.
Os direitos de acesso do usuário aos AWS sistemas (por exemplo, rede, aplicativos, ferramentas etc.) são revogados dentro de 24 horas após a rescisão ou desativação. As contas de usuário inativas são desativadas e and/or removidas pelo menos a cada 90 dias.
## A detecção ou o monitoramento de anomalias estão ativados para o acesso ou o registro de auditoria para detectar o aumento de privilégios ou o uso indevido do acesso para alertar proativamente a equipe do AMS?
Os hosts de produção em AWS são equipados com registro para fins de segurança. Esse serviço registra ações humanas nos hosts, incluindo logons, tentativas de login malsucedidas e desconexões. Esses registros são armazenados e acessíveis pelas equipes AWS de segurança para análise da causa raiz no caso de uma suspeita de incidente de segurança. Os registros de um determinado host também estão disponíveis para a equipe proprietária desse host. Uma ferramenta de análise de registros de front-end está disponível para as equipes de serviço pesquisarem seus registros para análise operacional e de segurança. Os processos são implementados para ajudar a proteger registros e ferramentas de auditoria contra acesso, modificação e exclusão não autorizados. A equipe AWS de segurança realiza análises de registros para identificar eventos com base nos parâmetros definidos de gerenciamento de riscos.
## Quais tipos de dados de clientes são extraídos das contas gerenciadas pelo AMS e como eles são utilizados e armazenados?
O AMS não acessa nem usa seu conteúdo para nenhuma finalidade. O AMS define o conteúdo do cliente como software (incluindo imagens de máquinas), dados, texto, áudio, vídeo ou imagens para os quais um cliente ou qualquer usuário final transfere AWS para processamento, armazenamento ou hospedagem Serviços da AWS em conexão com a conta de um cliente e quaisquer resultados computacionais que um cliente ou seu usuário final obtenham do exposto acima por meio do uso de. Serviços da AWS