本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 加速中的配置合规性
AMS Accelerate 可帮助您按照安全性和运营完整性的高标准配置资源,并遵守以下行业标准:
+ 互联网安全中心 (CIS)
+ 美国国家标准与技术研究院 (NIST) 云安全框架 (CSF)
+ 健康保险流通与责任法案 (HIPAA)
+ 支付卡行业 (PCI) 数据安全标准 (DSS)
为此,我们将整个合规 AWS Config 规则集部署到您的账户,请参阅[AMS Config 规则库](#acc-sec-compliance-rules)。 AWS Config 规则代表资源的所需配置,并根据资源设置的配置更改进行评估。 AWS 任何配置更改都会触发大量规则来测试合规性。例如,假设您创建了一个 Amazon S3 存储桶,并将其配置为可公开读取,这违反了 NIST 标准。[ams-nist-cis-s3-bucket-public-read-prohibited 规则](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html)会检测到违规行为,并在配置报告中将您的 S3 存储桶标记为 “**不合规**”。由于此规则属于**自动事故**补救类别,因此它会立即创建事件报告,提醒您注意问题。其他更严重的违反规则的行为可能会导致 AMS 自动修复问题。请参阅[对 “加速” 中违规行为的回应](#acc-sec-compliance-responses)。
**重要**
如果您希望我们采取更多措施,例如,如果您希望 AMS 为您纠正违规行为,无论其补救类别如何,请提交服务请求,要求 AMS 为您补救违规资源。在服务请求中,添加诸如 “作为 AMS 配置规则补救的一部分,请修复账户{{CONFIG\_RULE\_NAME}}中的非投诉资源{{RESOURCE\_ARNS\_OR\_IDs}}、配置规则” 之类的评论,并添加必要的输入以纠正违规行为。
如果您希望我们少做一些事情,例如,如果您不希望我们对设计上需要公开访问的特定 S3 存储桶采取行动,则可以创建例外,请参阅[在 “加速” 中创建规则例外](#acc-sec-compliance-config-reports-exception)。
## AMS Config 规则库
Accelerate 会部署 AMS 配置规则库来保护您的账户。这些配置规则以开头`ams-`。您可以通过 AWS Config 控制台、CLI 或 AWS Config AP AWS I 查看账户中的规则及其合规状态。有关使用的一般信息 AWS Config,请参阅[ ViewingConfiguration 合规性](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)。
**注意**
对于选择加入 AWS 区域和 gov cloud 区域,由于区域限制,我们只部署配置规则的子集。通过在 AMS Accelerate 配置规则表中查看与 AMS Accelerate 配置规则表中的标识符关联的链接,检查规则在区域中的可用性。
您无法删除任何已部署的 AMS Config 规则。
### 规则表
作为 [ams\_config\_rules.zip](samples/ams_config_rules.zip) 下载。
**AMS 配置规则**
| 规则名称 | 服务 | 触发器 | 操作 | 框架 |
| --- | --- | --- | --- | --- |
| [ams-nist-cis-guardduty-启用集中式](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | GuardDuty | 定期 | 修复 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (2) (ii);PCI:2.2,3.4,8.2.1; |
| [ams-nist-cis-vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC | 定期 | 修复 | C@@ IS:CIS.6;NIST-CSF:DE.AE- 1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.312 (b);PCI:2.2,10.1,10.3.2,10.3.2,10.3.3,10.3.4,10.3.5,10 .3.6; |
| [ams-eks-secrets-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/eks-secrets-encrypted.html) | EKS | 定期 | 事件 | CIS:不适用;NIS T-CSF:不适用;HIPAA:不适用;PCI:不适用; |
| [ams-eks-endpoint-no-公共访问](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html) | EKS | 定期 | 事件 | CIS:不适用;NIS T-CSF:不适用;HIPAA:不适用;PCI:不适用; |
| [ams-nist-cis-vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | VPC | Config 更改 | 事件 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312 (e) (1);PCI:1.2,1.3,2.1,2.1,2.2,1.2.1,1.3.2,2.2.2; |
| [ams-nist-cis-iam-密码政策](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | IAM | 定期 | 事件 | CIS:NA;NIS T-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (ii) 164.308 (a) (i) 164.308 (a) (a) (4)) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| [ams-nist-cis-iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | IAM | 定期 | 事件 | C@@ IS:CIS.16、CIS.4;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) 164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (4) (a) (a) (a) (3) (a) (3) (ii) (4) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.1,7.2.2; |
| [ams-nist-cis-iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | IAM | 定期 | 事件 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) ,164.312 (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.3,7.2.2; |
| [ams-nist-cis-restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | 安全组 | Config 更改 | 事件 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:2.2,7.2.1,8.1.4; |
| [ams-nist-cis-restricted-公共端口](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | 安全组 | Config 更改 | 事件 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE- 1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.32.2,1.2.1,1.3.1,1.3.2,2.2.2; |
| [ams-nist-cis-s3 account-level-public-access-方块](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.9、CIS.12、CIS.14;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.2.1,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2,2.2.2; |
| [ams-nist-cis-s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-s3-已启bucket-server-side-encryption用](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | S3 | Config 更改 | 事件 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (c) (2) (2) ,164.312 (e) (2) (2) (ii);PCI:2.2,3.4,10.5,8.2.1; |
| [ams-nist-cis-securityhub-已启用](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | Security Hub | 定期 | 事件 | C@@ IS:CIS.3、CIS.4、CIS.6、CIS.12、CIS.16、CIS.19;NIST-CSF:PR.DS-5、PR.PT-1;HIPAA:164.312 (b);PCI:N A; |
| [ams-nist-cis-ec2-经instance-managed-by-systems理](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308 (a) (5) (ii) (B);PCI:2.4; |
| [ams-nist-cis-cloudtrail-已启用](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.16、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.MA-2、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.308 (a) (5) (ii) (C) 164.312 (b);PCI:10.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.2.5,10.2.6,10.2.7,10.3.1,10.3.2,10.3.3,10.3.4,10.3.4,10.3.4,10.3.5,10.3.6; |
| [ams-nist-cis-access-按键旋转](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | IAM | 定期 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:2.2; |
| [ams-nist-cis-acm-certificate-expiration-check](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html) | Certificate Manager | Config 更改 | 报告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.AC-5,PR.PT-4;HIPAA:NA;PCI:4.1; |
| [ams-nist-cis-alb-http-to-https-redirection-检查](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | ALB | 定期 | 报告 | 独联体:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii) ,164.312 (e) (2) (ii);PCI:2.34.1,8.2.1; |
| [ams-nist-cis-api-已加gw-cache-enabled-and密](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | API Gateway | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| [ams-nist-cis-api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway | Config 更改 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | ELB | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.PT-1,PR.PT-5;HIPAA:164.312 (b);PCI:2.2; |
| [ams-nist-cis-cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:2.2,3.4,10.5; |
| [ams-nist-cis-cloud-已启trail-log-file-validation用](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:PR.DS-6;HIPAA:164.312 (c) (1) 164.312 (c) (2);PCI:2.2,10.5,11.5,11.5,10.5,10.5.2,10.5.5; |
| [ams-nist-cis-cloudtrail-s3 数据事件已启用](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) 164.312 (b);PCI:2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5,10.3.3,10.3.3,10.3.3,10.3.4,10.2.3,10.3.3,10.3.4,10.2.3,10.3.3,10.3.3,10.3.4,10.3,10.3.3,10.3.4,10.3.5,10 .3.6; |
| [ams-nist-cis-cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | CloudWatch | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:不适用;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| [ams-nist-cis-cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | CloudWatch | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:不适用;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4; |
| [ams-nist-cis-codebuild-project-envvar-awscred-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html) | CodeBuild | Config 更改 | 报告 | C@@ IS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:8.2.1; |
| [ams-nist-cis-codebuild-project-source-repo-url-检查](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html) | CodeBuild | Config 更改 | 报告 | C@@ IS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (C) 164.312 (a) (1);PCI:8.2.1; |
| [ams-nist-cis-db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| [ams-nist-cis-dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) | DMS | 定期 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-dynamodb-autoscaling-已启用](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | DynamoDB | 定期 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) ,164.308 (a) (7) (7) (ii) (C);PCI:NA; |
| [ams-nist-cis-dynamodb-启用 pitr](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | DynamoDB | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| [ams-nist-dynamodb-throughput-限额检查](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | DynamoDB | 定期 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-ebs-optimized-实例](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | EBS | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.308 (a) (7) (i);PCI:不适用; |
| [ams-nist-cis-ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | EBS | 定期 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-ec2-instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | EC2 | Config 更改 | 报告 | CIS:NA;NIS T-CSF:DE.AE-1,PR.PT-1;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-cis-ec2-instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (4) (ii) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) 164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC- 3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308 (a) (5) (ii) (B);PCI:6.2; |
| [ams-nist-cis-ec2 个停止的实例](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html) | EC2 | 定期 | 报告 | CIS:CIS.2;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:NA;PCI:NA;PCI:NA; |
| [ams-nist-cis-ec2-volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | EC2 | Config 更改 | 报告 | CIS:CIS.2;NIST-CSF:PR.IP-1;H IPAA:NA;PCI:NA;PCI:NA; |
| [ams-nist-cis-efs-加密支票](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | EFS | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-eip-已附上](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elasticache-redis-cluster-automatic-backup-检查](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | ElastiCache | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:不适用; |
| [ams-nist-cis-opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | OpenSearch | 定期 | 报告 | C@@ IS:CIS.14,CIS.13;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) | OpenSearch | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | Certificate Manager | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-elb-deletion-已启用保护](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | ELB | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii) ,164.312 (e) (2) (ii);PCI:4.1,8.2.1; |
| [ams-nist-cis-elb-启用日志功能](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | ELB | Config 更改 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-cis-emr-已启用 kerberos](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | EMR | 定期 | 报告 | CIS:CIS .6;NIST-CSF:DE.AE-1、DE.AE-3、PR.PT-1;HIPAA:164. 312 (b);PCI:10.1,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.4,10.3.5,10.3.6,10.5.4; |
| [ams-nist-cis-emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) | EMR | 定期 | 报告 | C@@ IS:CIS.14、CIS.16;NIST-CSF:PR.AC- 1、PR.AC-4、PR.AC-6;HIPAA:164.308 (a) (3) (i) 164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) (4) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) ,164.308 (a) (ii) (C) ,164.312 (a) (1);PCI:7.2.1; |
| [ams-nist-cis-encrypted-卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | EBS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC- 3、PR.AC-4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.4,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | GuardDuty | 定期 | 报告 | C@@ IS:CIS.12、CIS.13、CIS.16、CIS.19、CIS.3、CIS.4、CIS.6、CIS.8;NIST-CSF:DE.AE-2、DE.AE-3、DE.CM-4、DE.DP-5、ID.RA-1、ID.RA-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (5) (ii) (C) 164.308 (a) (6) (ii) 164.312 (b);PCI:6.1,11.4,5.1.2; |
| [ams-nist-iam-group-has-users-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-group-has-users-check.html) | IAM | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.AC-4,PR.AC-1;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (a) (3) (ii) 164.308 (a) (ii) 164.308 (a) (i) 164.308 (a) (a) (4)) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| [ams-nist-cis-iam-管理员访问policy-no-statements-with权限](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | IAM | Config 更改 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC-6,PR.AC-7;HIPAA:164.308 (a) (4) (ii) (B) 164.308 (a) (5) (ii) (D) ,164.312 (d);PCI:8.2.3,8.2.4,8.2.5; |
| [ams-nist-cis-iam-user-group-membership-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-group-membership-check.html) | IAM | Config 更改 | 报告 | C@@ IS:CIS.16、CIS.4;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) ,164.308 (a) (ii) (A) 164.308 (ii) (A) 164.308 (a) (4) (a) (a) (4) (a) (4) (a) (4) (a) (4) (a) (4) (a) (4) ii) (C) ,164.312 (a) (1) ,164.312 (a) (2) (i);PCI:2.2,7.1.2,7.2.1,7.2.1,8.1.1; |
| [ams-nist-cis-iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | IAM | Config 更改 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-7;HIPAA:164.308 (a) (4) (ii) (B) ,164.312 (d);PCI:8.3; |
| [ams-nist-cis-iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | IAM | 定期 | 报告 | C@@ IS:CIS.16;NIST-CSF:PR.AC- 1、PR.AC-4、PR.PT-3;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) (A) 164.308 (a) (3) (ii) 164.308 (a) (3) (ii) 164.308 (a) (3) (i) 164.308 (a) (3) (i) 164.308 (a) (3) (i) ,164.308 (a) (i) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) ,164.308 (a) 4.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (a) (1);PCI:2.2,7.1.2,7.1.3,7.2.3,7.2.1,7.2.2; |
| [ams-nist-cis-ec2-instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | EC2 | Config 更改 | 报告 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE- 1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (3) (ii) ,164.308 (a) (i) ,164.308 (a) (i) 164.308 (a) (i) 164.308 (a) (4) (ii) (A) 164.308 (a) (4) (ii) (B) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.32.2,1.2.1,1.3.1,1.3.2,2.2.2; |
| [ams-nist-cis-internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) | 互联网网关 | 定期 | 报告 | CIS:CIS.9、CIS.12;NIST-CSF:NA;HIP AA:NA;PCI:NA;PCI:NA;NA; |
| [ams-nist-cis-kms-cmk-not-scheduled-for-删除](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | KMS | 定期 | 报告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:NA;PCI:3.5,3.6; |
| [ams-nist-lambda-concurrency-检查](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | Lambda | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-lambda-dlq-检查](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | Lambda | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:NA;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-cis-lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | Lambda | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3. |
| [ams-nist-cis-lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) | Lambda | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) 64.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,2.2,1.3.2,1.3.4,2.2.2; |
| [ams-nist-cis-mfa-enabled-for-iam-console-访问](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | IAM | 定期 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-7;HIPA A:164.312 (d);PCI:2.2,8.3; |
| [ams-nist-cis-multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | CloudTrail | 定期 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.MA-2、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) ,164.312 (b);PCI:2.2,10.2.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,10.2.6,2.7,10.3.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.5,10.3.6; |
| [ams-nist-rds-enhanced-启用监控](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | RDS | Config 更改 | 报告 | CIS:NA;NIS T-CSF:PR.PT-1;HIPAA:164.312 (b);PCI:NA; |
| [ams-nist-cis-rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | RDS | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) ,164.308 (a) (7) (7) (ii) (C);PCI:NA; |
| [ams-nist-cis-rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-rds-存储加密](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.13、CIS.5、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii);PCI:3.4,10.1,10.2.1,10.2.2.1 (ii);PCI:3.4,10.1,10.2.1,10.2.2.1 2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.5,10.3.6,8.2.1; |
| [ams-nist-cis-redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | RedShift | Config 更改 | 报告 | C@@ IS:CIS.6、CIS.13、CIS.5;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1,10.1.10.2.2.1 1,10.2.2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.5,10.3.6; |
| [ams-nist-cis-redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | RedShift | Config 更改 | 报告 | C@@ IS:CIS.12、CIS.14、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (a) 164.308 (a) 164.308 (a) 164.308 (a) (4) (ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | RedShift | 定期 | 报告 | 独联体:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii);PCI:2.34.1; |
| [ams-nist-cis-root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | IAM | 定期 | 报告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312 (d);PCI:2.2,8.3; |
| [ams-nist-cis-root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | IAM | 定期 | 报告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312 (d);PCI:2.2,8.3; |
| [ams-nist-cis-s3-bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | S3 | Config 更改 | 报告 | CIS:CIS.14、CIS.13;NIST-CSF:ID.BE-5、PR.PT-5、RC.RP-1;HIPAA:NA;PCI:NA;PCI:NA; |
| [ams-nist-cis-s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | S3 | Config 更改 | 报告 | C@@ IS:CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-5、PR.PT-1;HIPAA:164.308 (a) (3) (ii) (A) ,164.312 (b);PCI:2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.3,10.2.4,10.2.7,10.3.1,10.3.2,10.2.5,10.2.7,10.3.1,10.3.2,10.2.5,10.2.7,10.3.1,10.3.2,10.2.2,10.2.7,10.3.1,10.3.2,10.2.2,10.2.10.3.3,10.3.4,10.3.4 ,10.3.6; |
| [ams-nist-cis-s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | S3 | Config 更改 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE-5、PR.DS-4、PR.IP-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B);PCI:2.2,10.5.3; |
| [ams-nist-cis-s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | S3 | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312 (a) (2) (iv) 164.312 (c) (2) 164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii);PCI:2.2,4.312 (e) (2) (ii);PCI:2.2,4.312 (e) (2) (ii) 1,8.2.1; |
| [ams-nist-cis-s3-bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | S3 | 定期 | 报告 | C@@ IS:CIS.10;NIST-CSF:ID.BE- 5、PR.DS-4、PR.DS-6、PR.IP-4、PR.PT-5、RC.RP-1;HIP AA:164.308 (a) (7) (i) 164.308 (a) (7) (i) 164.308 (a) (7) (ii) (a) (7) (ii) (A) 164.308 (a) (7) (ii) (a) 164.308 (a) (7) (ii) (A) 164.308 (a) (7) (ii) B) 164.312 (c) (1) ,164.312 (c) (2);PCI:10.5.3; |
| [ams-nist-cis-sagemaker-已endpoint-configuration-kms-key配置](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-已notebook-instance-kms-key配置](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-notebook-no-direct-internet-访问](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | SageMaker | 定期 | 报告 | C@@ IS:CIS.12、CIS.9;NIST-CSF:PR.AC-3、PR.AC- 4、PR.AC-5、PR.DS-5、PR.PT-3、PR.PT-4;HIPAA:164.308 (a) (3) (i) 164.308 (a) (i) 164.308 (a) (4) (a) (4) ii) (C) 164.312 (a) (1) ,164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.2,1.3.2,1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| [ams-nist-cis-secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html) | Secrets Manager | Config 更改 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:NA; |
| [ams-nist-cis-secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | Secrets Manager | Config 更改 | 报告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308 (a) (4) (ii) (B);PCI:NA; |
| [ams-nist-cis-sns-加密的 kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | SNS | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:8.2.1; |
| [ams-nist-cis-vpc-sg-open-only-to-授权端口](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | VPC | Config 更改 | 报告 | C@@ IS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312 (e) (1);PCI:1.2,1.3,1.2.1,1.2.1,1.3.1,1.3.2,2.2.2; |
| [ams-nist-vpc-vpn2 个隧道向上](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | VPC | Config 更改 | 报告 | CIS:不适用;NIS T-CSF:ID.BE-5、PR.DS-4、PR.PT-5、RC.RP-1;HIPAA:164.308 (a) (7) (i);PCI:NA; |
| [ams-cis-ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | EC2 | 定期 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) 164.312 (e) (2) (ii);PCI:2.2,3.4,8.2.1; |
| [ams-cis-rds-snapshot-已加密](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | RDS | Config 更改 | 报告 | C@@ IS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312 (a) (2) (iv) ,164.312 (e) (2) (ii);PCI:3.4,8.2.1; |
| [ams-cis-redshift-cluster-维护设置-检查](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | RedShift | Config 更改 | 报告 | C@@ IS:CIS.5;NIST-CSF:PR.DS-4、PR.IP-1、PR.IP-4;HIPAA:164.308 (a) (5) (ii) (A) 164.308 (a) (7) (ii) (A);PCI:6.2; |
## 对 “加速” 中违规行为的回应
所有 Config 规则违规行为都会出现在您的配置报告中。这是一种普遍的回应。根据规则的*补救类别*(严重程度),AMS 可能会采取其他措施,如下表所示。有关如何为某些规则自定义*操作代码*的详细信息,请参阅[自定义调查结果响应](custom-findings-responses.md)。
**补救措施**
| 操作码 | AMS 行动 |
| --- |--- |
| 报告 | [添加到 Config 报告](#acc-sec-compliance-response-universal) |
| 事件 | [添加到 Config 报告](#acc-sec-compliance-response-universal) [Accelerate 中的自动事件报告](#acc-sec-compliance-response-incident) |
| 修复 | [添加到 Config 报告](#acc-sec-compliance-response-universal) [Accelerate 中的自动事件报告](#acc-sec-compliance-response-incident) [在 “加速” 中自动修复](#acc-sec-compliance-response-autoremediate) |
**请求其他帮助**
**注意**
AMS 可以为您纠正任何违规行为,无论其补救类别如何。要请求帮助,请提交服务请求,并注明您希望 AMS 修复哪些资源,并附上诸如 “作为 AMS 配置规则补救的一部分,请修复非投诉{{RESOURCE\_ARNS\_OR\_IDs}}资源资源 ARNs/IDs>,账户{{CONFIG\_RULE\_NAME}}中的配置规则” 之类的评论,并添加必要的输入以纠正违规行为。
AMS Accelerate 有一个 AWS Systems Manager 自动化文档和运行手册库,可帮助修复不合规的资源。
### 添加到 Config 报告
AMS 会生成一份 Config 报告,用于跟踪您账户中所有规则和资源的合规状态。您可以向 CSDM 索取报告。您还可以通过 C AWS onfig 控制台、 AWS CLI 或 Confi AWS g API 查看合规性状态。您的 Config 报告包括:
+ 您环境中最重要的不合规资源,用于发现潜在威胁和错误配置
+ 随着时间的推移,资源和配置规则的合规性
+ Config 规则描述、规则严重性以及修复不合规资源的建议补救步骤
当任何资源进入不合规状态时,资源状态(和规则状态)在您的 Config 报告中变为 “**不合规**”。如果该规则属于**仅限 Config Rep** ort 的补救类别,则默认情况下,AMS 不会采取任何进一步的措施。您可以随时创建服务请求,向 AMS 请求其他帮助或补救措施。
有关更多详细信息,请参阅 [AWS Config 报告](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/on-request-reporting.html#acc-report-config-control-compliance)。
### Accelerate 中的自动事件报告
对于中等严重的违规行为,AMS 会自动创建事件报告,通知您资源已进入不合规状态,并询问您希望执行哪些操作。在应对事件时,您可以选择以下选项:
+ 请求 AMS 修复事件中列出的不合规资源。然后,我们会尝试修复不合规的资源,并在潜在事件得到解决后通知您。
+ 您可以在控制台中或通过自动部署系统(例如,Pi CI/CD peline 模板更新)手动解决不合规项目;然后,您可以解决事件。将根据规则的时间表重新评估不合规的资源,如果资源被评估为不合规,则会创建新的事件报告。
+ 您可以选择不解决不合规的资源,而直接解决事件。如果您稍后更新资源的 AWS 配置,Config 将触发重新评估,并再次提醒您评估该资源的不合规性。
### 在 “加速” 中自动修复
最重要的规则属于**自动修复类别。**不遵守这些规则可能会严重影响您的账户的安全性和可用性。当资源违反以下规则之一时:
1. AMS 会自动通过事件报告通知您。
1. AMS 使用我们的自动 SSM 文档开始自动修复。
1. AMS 会根据自动修复的成功或失败来更新事件报告。
1. 如果自动修复失败,AMS 工程师将调查问题。
## 在 “加速” 中创建规则例外
AWS Config 规则 资源异常功能允许您禁止针对特定规则报告特定、不合规的资源。
**注意**
豁免的资源在您的 Confi AWS g Service 控制台中仍显示为 “**不合规**”。豁免的资源在 Config 报告中带有特殊标志(resource\_Exception: True)。生成报告时, CSDMs 您可以根据该列筛选出这些资源。
如果您知道有不合规的资源,则可以在他们的 Config Reports 中删除特定配置规则的特定资源。要实现此目的,应按照以下步骤进行:
针对您的账户向 Accelerate 提交服务请求,并列出应免于报告的配置规则和资源。您必须提供明确的业务理由(例如,无需举报{{resource\_name\_1}},{{resource\_name\_2}}也无需备份,因为我们不希望对其进行备份)。有关提交加速服务请求的帮助,请参阅[在 Accelerate 中创建服务请求](creating-a-sr.md)。
将以下输入粘贴到请求中(为每个资源添加一个包含所有必填字段的单独块,如图所示),然后提交:
```
[
{
"resource_name": "{{resource_name_1}}",
"config_rule_name": "{{config_rule_name_1}}",
"business_justification": "{{REASON_TO_EXEMPT_RESOURCE}}",
"resource_type": "{{resource_type}}"
},
{
"resource_name": "{{resource_name_2}}",
"config_rule_name": "{{config_rule_name_2}}",
"business_justification": "{{REASON_TO_EXEMPT_RESOURCE}}",
"resource_type": "{{resource_type}}"
}
]
```
## 在 “加速” 中降低 AWS Config 成本
您可以通过使用定期记录`AWS::EC2::Instance`资源类型的选项来降低 AWS Config 成本。定期记录每 24 小时捕获一次资源的最新配置更改,从而减少交付的更改数量。启用后, AWS Config 仅记录 24 小时后资源的最新配置。这使您可以根据不需要持续监控的特定运营规划、合规性和审计用例定制配置数据。只有当您的应用程序依赖于临时架构(这意味着您要不断扩大或缩小实例的数量)时,才建议您进行此更改。
要选择定期记录`AWS::EC2::Instance`资源类型,请联系您的 AMS 交付团队。