

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# ACSC ISM 操作最佳实践 - 第 2 部分
<a name="operational-best-practices-for-acsc-ism-part-2"></a>

Conformance Pack 提供了一个通用的合规框架，旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板，合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。

以下提供了澳大利亚网络安全中心 (ACSC)《信息安全手册》(ISM) 2020-06 与托管 C AWS onfig 规则之间的其他示例映射。每条 Config 规则都适用于特定的 AWS 资源，并与一个或多个 ISM 控件相关。一个 ISM 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导，请参阅下表。

此示例合规性包模板包含与 ISM 框架内控制的映射，该框架由澳大利亚联邦创建，可在[澳大利亚政府信息安全手册](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/cyber-security-principles)中找到。有关知识共享署名 4.0 国际公共许可证下的框架许可和该框架的版权信息（包括免责声明），请访问 [ACSC \| 版权](https://www.cyber.gov.au/acsc/copyright)。


****  

| 控制 ID  | AWS Config 规则  | 指南  | 
| --- | --- | --- | 
| 1984 | [appmesh-virtual-gateway-backend-默认值-tls](https://docs.aws.amazon.com/config/latest/developerguide/appmesh-virtual-gateway-backend-defaults-tls.html) | 检查 AWS App Mesh 虚拟网关的后端默认值是否要求虚拟网关使用 TLS 与所有端口通信。如果 Configuration.spec，则该规则不合规。 BackendDefaults。 ClientPolicy.Tls.Enforce 是错误的。 | 
| 1984 | [appmesh-virtual-node-backend-defaults-tls-on](https://docs.aws.amazon.com/config/latest/developerguide/appmesh-virtual-node-backend-defaults-tls-on.html) | 检查 AWS App Mesh 虚拟节点的后端默认值是否要求虚拟节点使用 TLS 与所有端口通信。如果 Configuration.spec，则该规则不合规。 BackendDefaults。 ClientPolicy.Tls.Enforce 是错误的。 | 
| 1984 | [msk-in-cluster-node-需要-tls](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html) | 检查 Amazon MSK 集群是否使用 HTTPS（TLS）对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信，则此规则为 NON\_COMPLIANT。 | 
| 1984 | [rds-mysql-instance-encrypted在途中](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html) | 检查与 Amazon RDS for MySQL 数据库实例的连接是否配置为使用在传输中加密。如果关联的数据库参数组不同步或者 require\_secure\_transport 参数未设置为 1，则此规则为 NON\_COMPLIANT。 | 
| 1984 | [rds-postgres-instance-encrypted在途中](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html) | 检查与 Amazon RDS for PostgreSQL 数据库实例的连接是否配置为使用在传输中加密。如果关联的数据库参数组不同步或者 rds.force\_ssl 参数未设置为 1，则此规则为 NON\_COMPLIANT。 | 
| 1985 | [ebs-snapshot-public-restorable-检查](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | 检查 Amazon Elastic Block Store（Amazon EBS）是否不可公开还原。如果将一个或多个带 RestorableByUserIds字段的快照设置为全部，即 Amazon EBS 快照是公开的，则该规则不合规。 | 
| 1985 | [s3-bucket-mfa-delete-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html) | 检查 Amazon Elastic Block Store（Amazon EBS）是否不可公开还原。如果将一个或多个带 RestorableByUserIds字段的快照设置为全部，即 Amazon EBS 快照是公开的，则该规则不合规。 | 
| 1985 | [s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | 检查您的 Amazon S3 存储桶是否不允许公有读取访问。该规则将检查“阻止公有访问”设置、存储桶策略和存储桶访问控制列表（ACL）。<br />当满足以下两个条件时，该规则也合规：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html)<br />在以下情况下，此规则不合规：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html) | 
| 1985 | [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | 检查您的 Amazon S3 存储桶是否允许公有写入访问。该规则将检查“阻止公有访问”设置、存储桶策略和存储桶访问控制列表（ACL）。<br />当满足以下两个条件时，该规则也合规：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html)<br />在以下情况下，此规则不合规：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html) | 
| 1985 | [aurora-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-in-logically-air-gapped-vault.html) | 检查 Amazon Aurora 数据库集群是否位于逻辑上受物理隔离的保管库中。如果 Amazon Aurora 数据库集群没有在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON\_COMPLIANT。 | 
| 1985 | [ebs-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-in-logically-air-gapped-vault.html) | 检查 Amazon Elastic Block Store（Amazon EBS）卷是否位于逻辑上受物理隔离的保管库中。如果 Amazon EBS 卷未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON\_COMPLIANT。 | 
| 1985 | [ec2-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-in-logically-air-gapped-vault.html) | 检查 Amazon Elastic Block Store（Amazon EBS）实例是否位于逻辑上受物理隔离的保管库中。如果 Amazon EBS 实例未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON\_COMPLIANT。 | 
| 1985 | [efs-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/efs-resources-in-logically-air-gapped-vault.html) | 检查 Amazon Elastic File System（Amazon EFS）文件系统是否位于逻辑上受物理隔离的保管库中。如果 Amazon EFS 文件系统未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON\_COMPLIANT。 | 
| 1985 | [s3-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/s3-resources-in-logically-air-gapped-vault.html) | 检查 Amazon Simple Storage Service（Amazon S3）存储桶是否位于逻辑上受物理隔离的保管库中。如果 Amazon S3 存储桶未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON\_COMPLIANT。 | 

## 模板
<a name="acsc-ism-conformance-pack-sample"></a>

此模板可在以下网址获得 GitHub：[ACSC ISM 操作最佳实践-第 2 部分](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-ACSC-ISM-Part2.yaml)。