As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Regras selecionadas SCPs e de configuração
Regras selecionadas SCPs e de configuração para o AMS Advanced.
+ **Políticas de controle de serviço (SCPs)**: As fornecidas SCPs são adicionais às padrão do AMS.
Você pode usar esses controles de biblioteca em conjunto com os padrões para atender aos requisitos de segurança específicos.
+ **Regras de configuração**[: como medida básica, o AMS recomenda aplicar pacotes de conformidade (consulte Pacotes de conformidade no AWS Config guia), além das regras de configuração padrão do AMS (consulte Artefatos do AMS para ver as regras padrão).](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) Os pacotes de conformidade cobrem a maioria dos requisitos de conformidade e a AWS os atualiza regularmente.
As regras listadas aqui podem ser usadas para cobrir lacunas específicas de casos de uso que não são cobertas pelos pacotes de conformidade
**nota**
À medida que as regras padrão e os pacotes de conformidade do AMS são atualizados com o tempo, você pode ver duplicatas dessas regras.
O AMS recomenda fazer uma limpeza periódica das regras de configuração duplicadas em geral.
Para o AMS Advanced, o Config Rules não deve usar remediações automáticas (consulte Correção de [recursos não compatíveis da AWS pelo AWS Config Rules) para evitar](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) alterações. out-of-band
## SCP-AMS-001: Restringir a criação de EBS
Evite a criação de volumes do EBS se você não tiver a criptografia ativada.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: Restringir o lançamento do EC2
Evite a inicialização de uma instância do EC2 se o volume do EBS não estiver criptografado. Isso inclui negar uma inicialização do EC2 sem criptografia, AMIs pois esse SCP também se aplica aos volumes raiz.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: Restringir envios de RFC
Restrinja o envio automático de funções padrão do AMS, RFCs como **Criar VPC** ou **Excluir** VPC. Isso é útil se você quiser aplicar permissões mais granulares às suas funções federadas.
Por exemplo, talvez você queira que o padrão seja `AWSManagedServicesChangeManagement Role` capaz de enviar a maioria das informações disponíveis, RFCs exceto aquelas que permitem a criação e exclusão de uma VPC, a criação de sub-redes adicionais, a desativação de uma conta de aplicativo, a atualização ou a exclusão de provedores de identidade SAML:
## SCP-AMS-003: Restringir a criação de EC2 ou RDS no AMS
Evite a criação de instâncias do Amazon EC2 e do RDS que não tenham tags específicas e, ao mesmo tempo, permita que a `AMS Backup IAM` função padrão do AMS faça isso. Isso é necessário para recuperação de desastres ou DR.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: Restringir os carregamentos do S3
Evite o upload de objetos S3 não criptografados.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: Restrinja o acesso à API e ao console
Impeça o acesso ao console e à API da AWS para solicitações provenientes de endereços IP inválidos conhecidos como incorretos, conforme determinado cliente InfoSec.
## SCP-AMS-006: Impedir que a entidade IAM remova a conta do membro da organização
Impeça que uma AWS Identity and Access Management entidade remova contas de membros da organização.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: Evite compartilhar recursos com contas fora de sua organização
Evite compartilhar recursos com contas externas fora da sua AWS organização
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: Impedir o compartilhamento com organizações ou unidades organizacionais () OUs
Evite compartilhar recursos com uma conta and/or OU que esteja em uma organização.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: Impedir que usuários aceitem convites de compartilhamento de recursos
Impeça que as contas dos membros aceitem convites AWS RAM para participar de compartilhamentos de recursos. Essa API não suporta nenhuma condição e impede compartilhamentos somente de contas externas.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: Impedir ações de ativação e desativação da região da conta
Evite ativar ou desativar novas AWS regiões para suas AWS contas.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: Evitar ações de modificação do faturamento
Evite modificações na configuração de cobrança e pagamento.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: Impedir a exclusão ou modificação de dados específicos CloudTrails
Evite modificações em AWS CloudTrail trilhas específicas.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: Impedir a desativação da criptografia padrão do EBS
Evite a desativação da criptografia padrão do Amazon EBS.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: Impedir a criação de VPC e sub-rede padrão
Evite a criação de uma Amazon VPC e sub-redes padrão.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: Impedir a desativação e modificação GuardDuty
Impeça que GuardDuty a Amazon seja modificada ou desativada.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: Impedir a atividade do usuário root
Impeça que o usuário root execute qualquer ação.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: Impedir a criação de chaves de acesso para o usuário root
Impeça a criação de chaves de acesso para o usuário root.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: Impedir a desativação do bloqueio de acesso público da conta S3
Evite desativar um bloqueio de acesso público da conta Amazon S3. Isso evita que qualquer bucket na conta se torne público.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: Evite desativar o AWS Config ou modificar as regras do Config
Evite desativar ou modificar regras. AWS Config
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: Impeça todas as ações do IAM
Evite todas as ações do IAM.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: Impedir a exclusão de grupos e fluxos de registros CloudWatch
Evite excluir grupos e streams do Amazon CloudWatch Logs.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Impedir a exclusão do Glacier
Evite a exclusão do Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: Impedir a exclusão do IAM Access Analyzer
Evite a exclusão do IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Evitar modificações no CSPM do Security Hub
Impedir a exclusão do. AWS Security Hub CSPM
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: Impedir a exclusão no Directory Service
Evite a exclusão de recursos em Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: Impedir o uso do serviço negado
Evite o uso de serviços negados.
**nota**
Substitua {{service1}} e {{service2}} por seus nomes de serviço. Exemplo {{access-analyzer}} ou{{IAM}}.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["{{service1}}:*", "{{service2}}:*"]
}
```
## SCP-AMS-027: Impedir o uso de serviços negados em regiões específicas
Evite o uso de serviços negados em regiões específicas AWS .
**nota**
Substitua {{service1}} e {{service2}} por seus nomes de serviço. Exemplo {{access-analyzer}} ou{{IAM}}.
Substitua {{region1}} e {{region2}} por seus nomes de serviço. Exemplo {{us-west-2}} ou{{use-east-1}}.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["{{service1}}:*", "{{service2}}:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"{{region1}}",
"{{region2}}"
]
}
}
}
```
## SCP-AMS-028: Impedir que as etiquetas sejam modificadas, exceto por diretores autorizados
Evite modificações de tags por qualquer usuário, exceto os diretores autorizados. Use etiquetas de autorização para autorizar diretores. As etiquetas de autorização devem estar associadas aos recursos e aos diretores. user/role A só é considerado autorizado se a tag no recurso e no principal corresponder. Para saber mais, consulte os seguintes recursos:
+ [Protegendo tags de recursos usadas para autorização usando uma política de controle de serviço no AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Impedir que as etiquetas sejam modificadas, exceto por diretores autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: Impedir que usuários excluam os registros de fluxo da Amazon VPC
Evite a exclusão dos registros de fluxo da Amazon VPC.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: Impedir o compartilhamento da sub-rede VPC com uma conta que não seja uma conta de rede
Evite compartilhar sub-redes da Amazon VPC com contas que não sejam a conta da rede.
**nota**
{{NETWORK\_ACCOUNT\_ID}}Substitua pelo ID da sua conta de rede.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "{{NETWORK_ACCOUNT_ID}}"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: Evite a execução de instâncias com tipos de instância proibidos
Evite o lançamento de tipos de instância proibidos do Amazon EC2.
**nota**
{{instance\_type2}}Substitua {{instance\_type1}} e pelos tipos de instância que você deseja restringir, como {{t2.micro}} ou uma string curinga, como{{\*.nano}}.
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"{{instance_type1}}",
"{{instance_type2}}"
]
}
}
}
```
## SCP-AMS-032: Evite iniciar instâncias sem IMDSv2
Evite instâncias do Amazon EC2 sem. IMDSv2
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: Evitar modificações na função específica do IAM
Evite modificações em funções específicas do IAM.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{{{ACCOUNT_ID}}}:role/{{{RESOURCE_NAME}}}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: Evitar AssumeRolePolicy modificações em funções específicas do IAM
Evite modificações nas quatro AssumeRolePolicy funções específicas do IAM.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{{{ACCOUNT_ID}}}:role/{{{RESOURCE_NAME}}}"
],
"Effect": "Deny"
}
```
## ConfigRule: Etiquetas obrigatórias
Verifique se as instâncias do EC2 têm as tags personalizadas que você exigiu. Além disso InfoSec, isso também é útil para seu gerenciamento de custos
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: Tecla de acesso girada
Verifique se as chaves de acesso estão sendo giradas dentro do período de tempo especificado. Geralmente, isso é definido para ser de 90 dias de acordo com os requisitos de conformidade típicos.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: chave de acesso raiz do IAM no AMS
Verifique se a chave de acesso raiz não está presente em uma conta. Para contas AMS Advanced, espera-se que isso seja compatível. out-of-the-box
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: EC2 gerenciado por SSM
Verifique se você EC2s está sendo gerenciado pelo SSM Systems Manager.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: Usuário do IAM não utilizado no AMS
Verifique as credenciais de usuário do IAM que não foram usadas por um período especificado. Assim como a verificação de rotação de chaves, o padrão é de 90 dias de acordo com os requisitos de conformidade típicos.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: registro de buckets do S3
Verifique se o registro foi ativado para buckets do S3 na conta.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: controle de versão do bucket S3
Verifique se o controle de versão e a exclusão de MFA (opcional) estão habilitados em todos os buckets do S3
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: acesso público S3
Verifique se as configurações de acesso público (ACL pública, política pública, compartimentos públicos) estão restritas em toda a conta
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: Descobertas não arquivadas GuardDuty
Verifique se há GuardDuty descobertas não arquivadas anteriores à duração especificada. A duração padrão é de 30 dias para descobertas de baixo nível, 7 dias para sev médio e 1 dia para descobertas de alto nível.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: exclusão da CMK
Verifique se há chaves mestras AWS Key Management Service personalizadas (CMKs) que estão programadas (também conhecidas como pendentes) para exclusão. Isso é crucial, pois o desconhecimento da exclusão da CMK pode fazer com que os dados sejam irrecuperáveis.
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: Rotação CMK
Verifique se a rotação automática está ativada para cada CMK na conta
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```