

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# ACSC ISM 的操作最佳實務 - 第 2 部分
<a name="operational-best-practices-for-acsc-ism-part-2"></a>

一致性套件提供一般用途的合規架構，可讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、營運或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。

以下提供澳洲網路安全中心 (ACSC) 資訊安全手冊 (ISM) 2020-06 與 AWS 受管 Config 規則之間的額外範例映射。每個 Config 規則都適用於特定 AWS 資源，並與一或多個 ISM 控制項相關。一個 ISM 控制可以與多個組態規則相關。如需與這些映射相關的詳細資訊和指引，請參閱下方資料表。

此一致性套件範本範例包含 ISM 架構控制的映射，該架構由澳洲聯邦所建立，其可在 [Australian Government Information Security Manual](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/cyber-security-principles) 中取得。如需 Creative Commons Attribution 4.0 國際公眾授權下的架構授權和該架構的著作權資訊 (包括保證免責聲明)，請參閱 [ACSC \| Copyright](https://www.cyber.gov.au/acsc/copyright)。


****  

| 控制 ID  | AWS 組態規則  | 指引  | 
| --- | --- | --- | 
| 1984 | [appmesh-virtual-gateway-backend-defaults-tls](https://docs.aws.amazon.com/config/latest/developerguide/appmesh-virtual-gateway-backend-defaults-tls.html) | 檢查 AWS App Mesh 虛擬閘道的後端預設值是否需要虛擬閘道使用 TLS 與所有連接埠通訊。如果 configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce 為 false，則表示規則為 NON\_COMPLIANT。 | 
| 1984 | [appmesh-virtual-node-backend-defaults-tls-on](https://docs.aws.amazon.com/config/latest/developerguide/appmesh-virtual-node-backend-defaults-tls-on.html) | 檢查 AWS App Mesh 虛擬節點的後端預設值是否需要虛擬節點使用 TLS 與所有連接埠通訊。如果 configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce 為 false，則表示規則為 NON\_COMPLIANT。 | 
| 1984 | [msk-in-cluster-node-require-tls](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html) | 檢查 Amazon MSK 叢集是否使用 HTTPS (TLS) 對叢集的代理程式節點強制執行傳輸中加密。如果叢集內代理程式節點連線已啟用純文字通訊，則表示規則為「NON\_COMPLIANT」。 | 
| 1984 | [rds-mysql-instance-encrypted-in-transit](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html) | 檢查與 Amazon RDS for MySQL 資料庫執行個體的連線是否已設定為使用傳輸中的加密。如果關聯的資料庫參數群組不是 in-sync 或 require\_secure\_transport 參數未設定為 1，則表示規則為「NON\_COMPLIANT」。 | 
| 1984 | [rds-postgres-instance-encrypted-in-transit](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html) | 檢查 Amazon RDS for PostgreSQL 資料庫執行個體的連線是否設定為使用傳輸中的加密。如果關聯的資料庫參數群組不是 in-sync 或 rds.force\_ssl 參數未設定為 1，則表示規則為「NON\_COMPLIANT」。 | 
| 1985 | [ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | 檢查 Amazon Elastic Block Store (Amazon EBS) 快照是否不可公開還原。如果將一或多個具有 RestorableByUserIds 欄位的快照設為 "all" (也就是說，Amazon EBS 快照為公用)，則表示規則為「NON\_COMPLIANT」。 | 
| 1985 | [s3-bucket-mfa-delete-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html) | 檢查 Amazon Elastic Block Store (Amazon EBS) 快照是否不可公開還原。如果將一或多個具有 RestorableByUserIds 欄位的快照設為 "all" (也就是說，Amazon EBS 快照為公用)，則表示規則為「NON\_COMPLIANT」。 | 
| 1985 | [s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | 檢查您的 Amazon S3 儲存貯體是否不允許公開讀取存取。規則會檢查封鎖公開存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。<br />同時滿足以下兩個條件時，規則是合規的：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html)<br />規則在以下情況下不合規：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html) | 
| 1985 | [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | 檢查您的 Amazon S3 儲存貯體是否不允許公有寫入存取。規則會檢查封鎖公開存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。<br />同時滿足以下兩個條件時，規則是合規的：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html)<br />規則在以下情況下不合規：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/config/latest/developerguide/operational-best-practices-for-acsc-ism-part-2.html) | 
| 1985 | [aurora-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-in-logically-air-gapped-vault.html) | 檢查 Amazon Aurora 資料庫叢集是否位於邏輯氣隙隔離保存庫中。如果 Amazon Aurora 資料庫叢集在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON\_COMPLIANT」。 | 
| 1985 | [ebs-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-in-logically-air-gapped-vault.html) | 檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區是否位於邏輯氣隙隔離保存庫中。如果 Amazon EBS 磁碟區在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON\_COMPLIANT」。 | 
| 1985 | [ec2-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-in-logically-air-gapped-vault.html) | 檢查 Amazon Elastic Block Store (Amazon EBS) 執行個體是否位於邏輯氣隙隔離保存庫中。如果 Amazon EBS 執行個體在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON\_COMPLIANT」。 | 
| 1985 | [efs-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/efs-resources-in-logically-air-gapped-vault.html) | 檢查 Amazon Elastic File System (Amazon EFS) 檔案系統是否位於邏輯氣隙隔離保存庫中。如果 Amazon EFS 檔案系統在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON\_COMPLIANT」。 | 
| 1985 | [s3-resources-in-logically-air-gapped-vault](https://docs.aws.amazon.com/config/latest/developerguide/s3-resources-in-logically-air-gapped-vault.html) | 檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體是否位於邏輯氣隙隔離保存庫中。如果 Amazon S3 儲存貯體在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON\_COMPLIANT」。 | 

## 範本
<a name="acsc-ism-conformance-pack-sample"></a>

此範本可在 GitHub 上取得：[ACSC ISM 的操作最佳實務 - 第 2 部分](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-ACSC-ISM-Part2.yaml)。