

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# ENISA 中小企業網路安全指南的操作最佳實務
<a name="operational-best-practices-for-enisa-cybersecurity-guide-for-smes"></a>

合規套件提供一般用途的合規架構，旨在讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、營運或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。

以下提供適用於 SMEs 的歐盟網路安全局 (ENISA) 網路安全指南與 AWS 受管 Config 規則之間的範例映射。每個 Config 規則都適用於特定 AWS 資源，並與 SMEs控制項的一或多個 ENISA 網路安全指南相關。一個 ENISA 中小企業網路安全指南控制可以與多個 Config 規則相關聯。如需與這些映射相關的詳細資訊和指引，請參閱下方資料表。

此一致性套件範本範例包含改編自 ENISA 中小企業網路安全指南的控制映射。ENISA 中小企業網路安全指南可在 [Cybersecurity guide for SMEs - 12 steps to securing your business](https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes) 取得。


****  

| 控制 ID  | 控制描述  | AWS 組態規則  | 指引  | 
| --- | --- | --- | --- | 
| 1\_培養良好的網路安全文化：發佈網路安全政策 |  網路安全應制定明確且具體的規則 | security-awareness-program-exists (程序檢查) | 為貴組織建立並維護安全意識計劃。安全意識計劃可教育員工如何保護其組織免於遭受各種安全漏洞或事件侵害。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [autoscaling-launch-config-public-ip-disabled](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html) |  如果您使用公有 IP 地址設定網路介面，則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取，因為這可能會導致意外存取應用程式或伺服器。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) |  確保 DMS 複寫執行個體無法公開存取，藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊，此類帳戶需要存取控制。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) |  透過確保 EBS 快照不可公開還原來管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊，此類帳戶需要存取控制。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [ec2-instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) |  確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊，此類帳戶需要存取控制。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) |  確保 Amazon EMR 叢集主節點無法公開存取，藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊，此類帳戶需要存取控制。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) |  確保 AWS Lambda 函數無法公開存取，藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) |  確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊，此類帳戶需要原則和存取控制。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) |  確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開，藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則，此類帳戶需要原則和存取控制。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) |  確保 Amazon Redshift 叢集不公開，以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則，此類帳戶需要存取控制。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-account-level-public-access-blocks-periodic](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html) |  確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取，避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值：True)、blockPublicPolicy (Config 預設值：True)、blockPublicAcls (Config 預設值：True) 以及 restrictPublicBuckets 參數 (Config 預設值：True)。實際值應反映貴組織的政策。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-bucket-level-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html) |  確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，藉此管理對 AWS 雲端資源的存取。此規則可透過防止儲存貯體層級的公開存取，避免未經授權的遠端使用者存取敏感資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) |  僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) |  僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體，以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-bucket-acl-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html) |  此規則會檢查存取控制清單 (ACL) 是否用於在 Amazon S3 儲存貯體上進行存取控制。ACLs是 Amazon S3 儲存貯體的舊版存取控制機制，其早於 AWS Identity and Access Management (IAM)。最佳實務是使用 IAM 政策或 S3 儲存貯體政策，更輕鬆地管理 S3 儲存貯體的存取，而非使用 ACL。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [ssm-document-not-public](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html) |  確保 AWS Systems Manager (SSM) 文件不公開，因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [subnet-auto-assign-public-ip-disabled](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html) |  確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路，藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體，具有指派給其主要網路介面的公有 IP 地址。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) |  為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [alb-http-drop-invalid-header-enabled](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html) |  確保 Elastic Load Balancer (ELB) 設定為捨棄 http 標頭。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) |  為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [api-gw-ssl-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html) |  確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統對來自 API Gateway 的請求進行驗證。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [backup-recovery-point-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) |  確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [backup-recovery-point-manual-deletion-disabled](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) |  確保您的 AWS 備份復原點具有連接的資源型政策，以防止刪除復原點。使用資源型政策防止刪除復原點，有助於防止意外或故意刪除。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) |  由於可能存在敏感資料，且為了協助保護靜態資料，請確保已啟用 AWS CloudTrail 追蹤的加密。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [dynamodb-table-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-encrypted-kms.html) |  確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。根據預設，DynamoDB 資料表會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) |  為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [elasticsearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elasticsearch Service (Amazon ES) 網域啟用加密功能。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [efs-access-point-enforce-root-directory](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html) |  針對 Amazon Elastic File System (Amazon EFS) 存取點強制執行根目錄，可確保存取點的使用者只能存取指定子目錄的檔案，有助於限制資料存取。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [efs-access-point-enforce-user-identity](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html) |  為了協助實作最低權限原則，請確保已為 Amazon Elastic File System (Amazon EFS) 啟用使用者強制執行。啟用後，Amazon EFS 會將 NFS 用戶端的使用者和群組 ID 取代為所有檔案系統操作之存取點上設定的身分，並且僅授予對此強制使用者身分的存取權。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) |  使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後，日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) |  為了協助保護靜態敏感資料，請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [codebuild-project-artifact-encryption](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-artifact-encryption.html) |  為了協助保護靜態敏感資料，請確定已為您的 AWS CodeBuild 成品啟用加密。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html) |  為了協助保護靜態資料，請確定已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [codebuild-project-s3-logs-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html) |  為了協助保護靜態敏感資料，請確定已為存放在 Amazon S3 中的 AWS CodeBuild 日誌啟用加密。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service 網域啟用加密功能。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [elasticsearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html) |  確保已啟用 Amazon Elasticsearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [opensearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html) |  確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [elb-tls-https-listeners-only](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html) |  確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) |  由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [elbv2-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-acm-certificate-required.html) |  由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [kinesis-stream-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Kinesis Streams 啟用加密功能。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [iam-policy-no-statements-with-admin-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) |  AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合，限制政策在「資源」：「\*」上包含「效果」：「允許」與「動作」：「\*」。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [iam-policy-no-statements-with-full-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html) |  確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限，可能會違反最低權限和職責分離的原則。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) |  Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選，協助管理網路存取 AWS 。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) |  確保網際網路閘道僅連接至授權的 Amazon Virtual Private Cloud (Amazon VPC)，以管理 AWS 對雲端資源的存取。網際網路閘道允許進出 Amazon VPC 的雙向網際網路存取，這可能導致未經授權存取 Amazon VPC 資源。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [no-unrestricted-route-to-igw](https://docs.aws.amazon.com/config/latest/developerguide/no-unrestricted-route-to-igw.html) |  確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取，可減少環境中的意外存取。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) |  確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) |  為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) |  為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) |  確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [redshift-cluster-kms-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html) |  為了協助保護靜態資料，請確定您的 Amazon Redshift 叢集已啟用 AWS Key Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-default-encryption-kms](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) |  確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) |  為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能靜態存在敏感資料，因此請啟用加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) |  為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) |  為了協助保護靜態資料，請確定已啟用 SageMaker 端點的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-kms-key-configured.html) |  為了協助保護靜態資料，請確定已啟用 SageMaker 筆記本的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 筆記本中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [sagemaker-notebook-no-direct-internet-access](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) |  確保 Amazon SageMaker 筆記本不允許直接網際網路存取，藉此管理 AWS 對雲端資源的存取。透過防止直接存取網際網路，您可以避免未經授權的使用者存取敏感資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [sns-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) |  為了協助保護靜態資料，請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用 AWS Key Management Service (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 1\_培養良好的網路安全文化：記住資料保護 | 根據歐盟一般資料保護規則 1，所有處理或儲存歐盟/歐洲經濟區居民個人資料的中小企業，都必須確保採取適當的安全控制措施來保護該資料。這包括確保代表中小企業工作的所有第三方都採取適當的安全措施。 | [vpc-sg-open-only-to-authorized-ports](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) |  透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。 | 
| 2\_提供適當的訓練 |  定期為所有員工提供網路安全意識訓練，確保其能夠識別並因應各種網路安全威脅。這些訓練應針對中小企業量身定制，並著重於現實生活情況。為企業內負責管理網路安全的人員提供專業的網路安全訓練，確保其具備完成工作所需的技能和能力。 | security-awareness-program-exists (程序檢查) | 為貴組織建立並維護安全意識計劃。安全意識計劃可教育員工如何保護其組織免於遭受各種安全漏洞或事件侵害。 | 
| 4\_制定事件回應計畫 |  制定正式的事件回應計畫，該計畫包含明確的指引、角色和責任，可確保以及時、專業和適當的方式回應所有安全事件。為了快速回應安全威脅，請調查可在發生可疑活動或安全漏洞時監控並建立提醒的工具。 | response-plan-exists-maintained (程序檢查) | 確保已建立、維護事件回應計畫，並將其分發給負責人員。 | 
| 5\_安全存取系統 | 鼓勵每個人使用複雜密碼，這是一組至少由三個隨機常見單字組合而成的片語，可完美結合易記性與安全性。如果您選擇使用典型密碼：- 使用小寫和大寫字元，也可以使用數字和特殊字元，使其更長。- 避免使用 ＂password＂ 之類的簡單密碼，或 ＂abc＂、＂123＂之類的字母或數字序列。- 避免使用可在線上找到的個人資訊。不論您使用的是複雜密碼還是密碼 - 請勿在其他地方重複使用這些密碼。- 不要與同事分享。- 啟用多重要素驗證。- 使用專用的密碼管理員。 | [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值： true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值： true)、 RequireSymbols (AWS 基礎安全最佳實務值： true)、 RequireNumbers (AWS 基礎安全最佳實務值： true)、 MinimumPasswordLength AWS （基本安全最佳實務值： 14)、 PasswordReusePrevention AWS （基礎安全最佳實務值： 24)、 和 MaxPasswordAge AWS （基礎安全最佳實務值： 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | 
| 5\_安全存取系統 | 鼓勵每個人使用複雜密碼，這是一組至少由三個隨機常見單字組合而成的片語，可完美結合易記性與安全性。如果您選擇使用典型密碼：- 使用小寫和大寫字元，也可以使用數字和特殊字元，使其更長。- 避免使用 ＂password＂ 之類的簡單密碼，或 ＂abc＂、＂123＂之類的字母或數字序列。- 避免使用可在線上找到的個人資訊。不論您使用的是複雜密碼還是密碼 - 請勿在其他地方重複使用這些密碼。- 不要與同事分享。- 啟用多重要素驗證。- 使用專用的密碼管理員。 | [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) |  啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 以減少帳戶遭到入侵的事件。 | 
| 5\_安全存取系統 | 鼓勵每個人使用複雜密碼，這是一組至少由三個隨機常見單字組合而成的片語，可完美結合易記性與安全性。如果您選擇使用典型密碼：- 使用小寫和大寫字元，也可以使用數字和特殊字元，使其更長。- 避免使用 ＂password＂ 之類的簡單密碼，或 ＂abc＂、＂123＂之類的字母或數字序列。- 避免使用可在線上找到的個人資訊。不論您使用的是複雜密碼還是密碼 - 請勿在其他地方重複使用這些密碼。- 不要與同事分享。- 啟用多重要素驗證。- 使用專用的密碼管理員。 | [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) |  確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA，以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。透過要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。 | 
| 5\_安全存取系統 | 鼓勵每個人使用複雜密碼，這是一組至少由三個隨機常見單字組合而成的片語，可完美結合易記性與安全性。如果您選擇使用典型密碼：- 使用小寫和大寫字元，也可以使用數字和特殊字元，使其更長。- 避免使用 ＂password＂ 之類的簡單密碼，或 ＂abc＂、＂123＂之類的字母或數字序列。- 避免使用可在線上找到的個人資訊。不論您使用的是複雜密碼還是密碼 - 請勿在其他地方重複使用這些密碼。- 不要與同事分享。- 啟用多重要素驗證。- 使用專用的密碼管理員。 | [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) |  確保為根使用者啟用硬體 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| 5\_安全存取系統 | 鼓勵每個人使用複雜密碼，這是一組至少由三個隨機常見單字組合而成的片語，可完美結合易記性與安全性。如果您選擇使用典型密碼：- 使用小寫和大寫字元，也可以使用數字和特殊字元，使其更長。- 避免使用 ＂password＂ 之類的簡單密碼，或 ＂abc＂、＂123＂之類的字母或數字序列。- 避免使用可在線上找到的個人資訊。不論您使用的是複雜密碼還是密碼 - 請勿在其他地方重複使用這些密碼。- 不要與同事分享。- 啟用多重要素驗證。- 使用專用的密碼管理員。 | [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) |  確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| 6\_保護裝置安全：持續修補軟體並保持最新狀態 | 理想情況下，使用集中式平台來管理修補功能。對於中小企業，強烈建議執行下列作業：- 定期更新其所有軟體。- 盡可能開啟自動更新。- 識別需要手動更新的軟體和硬體。- 考慮行動裝置與 IoT 裝置。 | [ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) |  使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會將組態狀態指派給受管執行個體，並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態的基準，以及環境的其他詳細資訊。 | 
| 6\_保護裝置安全：持續修補軟體並保持最新狀態 | 理想情況下，使用集中式平台來管理修補功能。對於中小企業，強烈建議執行下列作業：- 定期更新其所有軟體。- 盡可能開啟自動更新。- 識別需要手動更新的軟體和硬體。- 考慮行動裝置與 IoT 裝置。 | [ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) |  啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | 
| 6\_保護裝置安全：持續修補軟體並保持最新狀態 | 理想情況下，使用集中式平台來管理修補功能。對於中小企業，強烈建議執行下列作業：- 定期更新其所有軟體。- 盡可能開啟自動更新。- 識別需要手動更新的軟體和硬體。- 考慮行動裝置與 IoT 裝置。 | [ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) |  使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本，以及有關您環境的其他詳細資訊。 | 
| 6\_保護裝置安全：持續修補軟體並保持最新狀態 | 理想情況下，使用集中式平台來管理修補功能。對於中小企業，強烈建議執行下列作業：- 定期更新其所有軟體。- 盡可能開啟自動更新。- 識別需要手動更新的軟體和硬體。- 考慮行動裝置與 IoT 裝置。 | [ecs-fargate-latest-platform-version](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html) |  系統會自動為您的 AWS Fargate 任務部署安全更新和修補程式。如果發現影響 AWS Fargate 平台版本的安全問題，請 AWS 修補平台版本。為了協助管理執行 AWS Fargate 的 Amazon Elastic Container Service (ECS) 任務，請更新您的服務獨立任務以使用最新的平台版本。 | 
| 6\_保護裝置安全：持續修補軟體並保持最新狀態 | 理想情況下，使用集中式平台來管理修補功能。對於中小企業，強烈建議執行下列作業：- 定期更新其所有軟體。- 盡可能開啟自動更新。- 識別需要手動更新的軟體和硬體。- 考慮行動裝置與 IoT 裝置。 | [elastic-beanstalk-managed-updates-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html) |  針對 Amazon Elastic Beanstalk 環境啟用受管平台更新，可確保已安裝適用於環境的最新可用平台修正、更新和功能。保護系統的最佳實務是安裝最新的修補程式。 | 
| 6\_保護裝置安全：持續修補軟體並保持最新狀態 | 理想情況下，使用集中式平台來管理修補功能。對於中小企業，強烈建議執行下列作業：- 定期更新其所有軟體。- 盡可能開啟自動更新。- 識別需要手動更新的軟體和硬體。- 考慮行動裝置與 IoT 裝置。 | [rds-automatic-minor-version-upgrade-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html) |  在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級，以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新，其中可能包括安全修補程式和錯誤修正。 | 
| 6\_保護裝置安全：持續修補軟體並保持最新狀態 | 理想情況下，使用集中式平台來管理修補功能。對於中小企業，強烈建議執行下列作業：- 定期更新其所有軟體。- 盡可能開啟自動更新。- 識別需要手動更新的軟體和硬體。- 考慮行動裝置與 IoT 裝置。 | [redshift-cluster-maintenancesettings-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) |  此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言，即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) |  為了協助保護靜態資料，請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [backup-recovery-point-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) |  確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) |  由於可能存在敏感資料，且為了協助保護靜態資料，請確保已啟用 AWS CloudTrail 追蹤的加密。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) |  使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後，日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) |  為了協助保護靜態敏感資料，請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [codebuild-project-artifact-encryption](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-artifact-encryption.html) |  為了協助保護靜態敏感資料，請確定已為您的 AWS CodeBuild 成品啟用加密。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [codebuild-project-s3-logs-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html) |  為了協助保護靜態敏感資料，請確定已為存放在 Amazon S3 中的 AWS CodeBuild 日誌啟用加密。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [dynamodb-table-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-encrypted-kms.html) |  確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。根據預設，DynamoDB 資料表會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) |  為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [elasticsearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elasticsearch Service (Amazon ES) 網域啟用加密功能。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) |  由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [elbv2-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-acm-certificate-required.html) |  由於可能存在敏感資料並為了協助保護傳輸中資料，因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon OpenSearch Service 網域啟用加密功能。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [elasticsearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html) |  確保已啟用 Amazon Elasticsearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [opensearch-node-to-node-encryption-check](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html) |  確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [opensearch-https-required](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html) |  由於可能存在敏感資料，因此為了協助保護傳輸中的資料，請確保已針對 Amazon OpenSearch Service 網域的連線啟用 HTTPS。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [secretsmanager-using-cmk](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-using-cmk.html) |  為了協助保護靜態資料，請確定已啟用 AWS Secrets Manager 秘密的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [kinesis-stream-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html) |  由於可能存在敏感資料，因此為了協助保護靜態資料，請確保已針對 Amazon Kinesis Streams 啟用加密功能。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) |  確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) |  為了協助保護靜態資料，請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) |  為了協助保護靜態資料，請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能靜態存在敏感資料，因此請啟用加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [sns-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) |  為了協助保護靜態資料，請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用 AWS Key Management Service (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [redshift-cluster-kms-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html) |  為了協助保護靜態資料，請確定您的 Amazon Redshift 叢集已啟用 AWS Key Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [s3-default-encryption-kms](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) |  確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能靜態存在敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) |  為了協助保護靜態資料，請確定已啟用 SageMaker 端點的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-kms-key-configured.html) |  為了協助保護靜態資料，請確定已啟用 SageMaker 筆記本的 AWS 金鑰管理服務 (AWS KMS) 加密。由於 SageMaker 筆記本中可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) |  為了協助保護傳輸中的資料，請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [elb-tls-https-listeners-only](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html) |  確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [api-gw-ssl-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html) |  確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定，以允許後端系統對來自 API Gateway 的請求進行驗證。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) |  確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 6\_保護裝置安全：加密 | 透過資料加密來保護資料。中小企業應確保儲存在筆記型電腦、智慧型手機及平板電腦等行動裝置上的資料均經過加密。對於透過公有網路 (例如飯店或機場 WiFi 網路) 傳輸的資料，請藉由使用虛擬私有網路 (VPN) 或透過使用 SSL/TLS 通訊協定的安全連線存取網站，確保資料經過加密。請確保其本身的網站採用合適的加密技術來保護透過網際網路傳輸的用戶端資料。 | [s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) |  為協助保護傳輸中的資料，請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料，因此請啟用傳輸中加密以協助保護該資料。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) |  Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選，協助管理網路存取 AWS 。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量，有助於限制遠端存取。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [restricted-common-ports](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) |  透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值：20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) |  Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選，協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [vpc-sg-open-only-to-authorized-ports](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) |  透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制，來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源，可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源，可以控制內部系統的遠端存取。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [alb-waf-enabled](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html) |  確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF，以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性，或在環境中耗用過多資源。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [api-gw-associated-with-waf](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html) |  AWS WAF 可讓您設定一組規則 （稱為 Web 存取控制清單 (Web ACL))，以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯，以保護其免於遭受惡意攻擊 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [netfw-policy-rule-group-associated](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html) |  AWS Network Firewall 政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包與流量流程，並定義預設流量處理。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [netfw-stateless-rule-group-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html) |  AWS Network Firewall 規則群組包含規則，定義防火牆如何處理 VPC 中的流量。防火牆政策中存在的空白無狀態規則群組不會處理流量。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [waf-regional-rule-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html) |  確保您的 AWS WAF 具有不是空的規則。沒有條件的規則可能會導致非預期的行為。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [waf-regional-rulegroup-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html) |  確保您的 AWS WAF 有一個不是空的規則群組。空的規則群組可能會導致非預期的行為。 | 
| 7\_保護網路安全：使用防火牆 | 防火牆可管理進出網路的流量，其是保護中小企業系統的重要工具。應部署防火牆來保護所有重要系統，尤其應採用防火牆來保護中小企業的網路免受網際網路影響。 | [waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty.html) |  連接到 AWS WAF 的 Web ACL 可以包含規則和規則群組的集合，以檢查和控制 Web 請求。如果 Web ACL 為空，則 Web 流量會在不被 WAF 所偵測或採取行動的情況下通過。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值： true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值： true)、 RequireSymbols (AWS 基礎安全最佳實務值： true)、 RequireNumbers (AWS 基礎安全最佳實務值： true)、 MinimumPasswordLength AWS （基本安全最佳實務值： 14)、 PasswordReusePrevention AWS （基礎安全最佳實務值： 24)、 和 MaxPasswordAge AWS （基礎安全最佳實務值： 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) |  啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在登入憑證之上增加了一層額外的保護。要求使用者使用 MFA 以減少帳戶遭到入侵的事件。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) |  確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA，以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。透過要求使用者使用 MFA，您可以減少帳戶遭到入侵的事件，並防止未經授權的使用者存取敏感資料。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) |  確保為根使用者啟用硬體 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) |  確保根使用者已啟用 MFA，以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA，您可以減少遭到入侵的事件 AWS 帳戶。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) |  API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [cloud-trail-cloud-watch-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) |  使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [elasticsearch-logs-to-cloudwatch](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html) |  確保 Amazon Elasticsearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助稽核安全性和存取，也可協助診斷可用性問題。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) |  AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址，以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [opensearch-logs-to-cloudwatch](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html) |  確保 Amazon OpenSearch Service 網域已啟用錯誤日誌，並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。OpenSearch Service 錯誤日誌可協助稽核安全性和存取，並可協助診斷可用性問題。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [elb-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) |  Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [rds-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html) |  若要協助您在環境內進行日誌記錄和監控，請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄，您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) |  Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態，以及相關的錯誤代碼。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) |  AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS 防火牆管理員和 AWS 合作夥伴解決方案。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) |  VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設，流程日誌記錄包含 IP 流程不同元件的值，包括來源、目標和通訊協定。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [wafv2-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html) |  為了協助您在環境中記錄和監控，請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊，以及每個請求相符規則的動作。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) |  當指標超過閾值達到指定的評估期間數，Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值：True)、insufficientDataActionRequired (Config 預設值：True)、okActionRequired (Config 預設值：False) 皆有值。實際值應反映您環境的警示動作。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) |  為了保護靜態資料，請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄，以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值：TRUE) 和 loggingEnabled (Config 預設值：TRUE) 設定一個值。實際值應反映貴組織的政策。 | 
| 7\_保護網路安全：檢閱遠端存取解決方案 | 中小企業應定期檢閱所有遠端存取工具以確保其安全，特別是：- 確保所有遠端存取軟體都已修補並保持最新狀態。- 限制來自可疑地理位置或某些 IP 地址的遠端存取。- 限制員工僅能遠端存取其工作所需的系統和電腦。- 對遠端存取強制使用高強度密碼，並在可能的情況下啟用多重要素驗證。- 確保已啟用監控和提醒，以警告有可疑攻擊或不尋常的可疑活動。 | [redshift-enhanced-vpc-routing-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html) |  增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後，您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。也可以使用 VPC 流程日誌來監控網路流量。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [aurora-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-protected-by-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon Aurora 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [backup-plan-min-frequency-and-min-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-plan-min-frequency-and-min-retention-check.html) |  為了協助處理資料備份程序，請確保您的 AWS 備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值：1)、requiredRetentionDays (Config 預設值：35) 以及 requiredFrequencyUnit (Config 預設值：days) 參數。實際值應反映貴組織的需求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [backup-recovery-point-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) |  確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料，因此請啟用靜態加密以協助保護該資料。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [backup-recovery-point-manual-deletion-disabled](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-manual-deletion-disabled.html) |  確保您的 AWS 備份復原點具有連接的資源型政策，以防止刪除復原點。使用資源型政策防止刪除復原點，有助於防止意外或故意刪除。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [backup-recovery-point-minimum-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-minimum-retention-check.html) |  為了協助處理資料備份程序，請確保您的 AWS 備份復原點已設定最短保留期間。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredRetentionDays (Config 預設值：35) 參數。實際值應反映貴組織的需求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) |  Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照，並備份整個資料庫執行個體。系統可讓您設定特定保留期，以符合您的恢復能力需求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [dynamodb-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-in-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [dynamodb-pitr-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) |  啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原，藉以維護備份。復原會維護資料表過去 35 天的連續備份。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [ebs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ebs-in-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [ec2-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-protected-by-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [efs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計劃的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) |  啟用自動備份後，Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗，您可以建立新叢集，從最新的備份還原您的資料。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [fsx-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/fsx-resources-protected-by-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon FSx 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [rds-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/rds-in-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 AWS 備份計劃的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [rds-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html) |  為了協助處理資料備份程序，請確保您的 Amazon Relational Database Service (Amazon RDS) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理，讓您達到業務與法規的備份合規要求。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [redshift-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html) |  請確保 Amazon Redshift 叢集具有自動快照，以利處理資料備份。當叢集的自動快照已啟用時，Redshift 將定期為該叢集拍攝快照。根據預設，Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照，以先發生者為準。 | 
| 9\_安全備份 | 為了能復原重要的結構，您應維護備份，因為其是從勒索軟體攻擊等災難中復原的有效方法。應套用以下備份規則：- 盡可能定期並自動進行備份，- 將備份與中小企業的生產環境分開保存，- 將備份加密，特別是當備份要在不同位置之間移動時，- 測試定期從備份還原資料的能力。理想情況下，應從頭到尾定期測試完整還原。 | [s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) |  Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動非同步複製物件，以協助確保維持資料可用性。 | 
| 11\_保護線上網站安全 |  中小企業必須確保以安全的方式設定及維護其線上網站，並確保所有個人資料或財務詳訊資訊 (例如信用卡資料) 均獲得充分保護。這將需要對網站執行定期安全測試以識別任何潛在的安全弱點，並定期進行檢閱以確保正確維護和更新網站。 | vuln-management-plan-exists (程序檢查) | 確保已制定並實作漏洞管理計畫，以便擁有正式定義的程序來解決環境中的漏洞。 | 

## 範本
<a name="enisa-cybersecurity-guide-for-smes-conformance-pack-sample"></a>

此範本可在 GitHub 上取得：《[ENISA 中小企業網路安全指南的操作最佳實務](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-ENISA-Cybersecurity-Guide.yaml)》。