本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Accelerate 中的組態合規
AMS Accelerate 可協助您將資源設定為高標準的安全性和操作完整性,並符合下列業界標準:
+ 網際網路安全中心 (CIS)
+ 國家標準技術研究所 (NIST) 雲端安全架構 (CSF)
+ 美國健康保險流通與責任法案 (HIPAA)
+ 支付卡產業 (PCI) 資料安全標準 (DSS)
我們透過將整個合規 AWS Config 規則集部署到您的帳戶來執行此操作,請參閱 [AMS Config 規則程式庫](#acc-sec-compliance-rules)。 AWS Config 規則代表資源所需的組態,並根據 AWS 資源設定的組態變更進行評估。任何組態變更都會觸發大量規則來測試合規性。例如,假設您建立 Amazon S3 儲存貯體,並將其設定為可公開讀取,而違反 NIST 標準。[ams-nist-cis-s3-bucket-public-read-prohibited 規則](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html)會偵測違規情況,並在組態報告中標記 S3 儲存貯體**不合規**。由於此規則屬於 **Auto Incident** 修復類別,因此會立即建立 Incident Report,提醒您此問題。其他更嚴重的規則違規可能會導致 AMS 自動修復問題。請參閱 [在 Accelerate 中回應違規](#acc-sec-compliance-responses)。
**重要**
如果您希望我們執行更多操作,例如,如果您希望 AMS 為您修復違規,無論其修復類別為何,請提交服務請求,要求 AMS 為您修復不合規的資源。在服務請求中,包含註解,例如「作為 AMS 組態規則修復的一部分,請修復非投訴資源 *RESOURCE\$1ARNS\$1OR\$1IDs*、在帳戶中設定規則 *CONFIG\$1RULE\$1NAME*」,並新增必要的輸入以修復違規。
如果您希望我們做較少的事,例如,如果您不希望我們對需要設計公開存取的特定 S3 儲存貯體採取動作,您可以建立例外狀況,請參閱 [在 Accelerate 中建立規則例外狀況](#acc-sec-compliance-config-reports-exception)。
## AMS Config 規則程式庫
加速部署 AMS 組態規則的程式庫,以保護您的帳戶。這些組態規則以 開頭`ams-`。您可以從 AWS Config 主控台、 AWS CLI 或 AWS Config API 檢視帳戶中的規則及其合規狀態。如需使用 的一般資訊 AWS Config,請參閱 [ ViewingConfiguration 合規](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)。
**注意**
對於選擇加入 AWS 區域和 Gov 雲端區域,由於區域限制,我們只會部署一部分的組態規則。檢查 AMS Accelerate 組態規則表中與識別符相關聯的連結,以檢查區域中的規則可用性。
您無法移除任何已部署的 AMS Config 規則。
### 規則表
下載為 [ams\$1config\$1rules.zip](samples/ams_config_rules.zip)。
**AMS 組態規則**
| 規則名稱 | 服務 | 觸發條件 | 動作 | 架構 |
| --- | --- | --- | --- | --- |
| [ams-nist-cis-guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | GuardDuty | 定期 | 修復 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,8.2.1; |
| [ams-nist-cis-vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC | 定期 | 修復 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.3.2、10.3.3、10.3.4、10.3.5、、10.3.6; |
| [ams-eks-secrets-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/eks-secrets-encrypted.html) | EKS | 定期 | 事件 | CIS:NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| [ams-eks-endpoint-no-public-access](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html) | EKS | 定期 | 事件 | CIS:NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| [ams-nist-cis-vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | VPC | 組態變更 | 事件 | CIS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312(e)(1);PCI:1.2、1.3、2.1、2.2、1.2.1、1.3.1、1.3.2、2.2; |
| [ams-nist-cis-iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | IAM | 定期 | 事件 | CIS:NA;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:7.1.2,7.1.3,7.2.1); |
| [ams-nist-cis-iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | IAM | 定期 | 事件 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a);PCI:2.2,7.1.2,7.1.3,7.1.2; |
| [ams-nist-cis-iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | IAM | 定期 | 事件 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:2.2,7.1.2,7.1.3,7.2.2; |
| [ams-nist-cis-restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | 安全群組 | 組態變更 | 事件 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:2.2,7.2.1,8.1.4; |
| [ams-nist-cis-restricted-common-ports](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | 安全群組 | 組態變更 | 事件 | CIS:CIS.11,CIS.12,CIS.9;NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4;HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2.2 |
| [ams-nist-cis-s3-account-level-public-access-blocks](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html) | S3 | 組態變更 | 事件 | CIS:CIS.9,CIS.12,CIS.14;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | S3 | 組態變更 | 事件 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | S3 | 組態變更 | 事件 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | S3 | 組態變更 | 事件 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(2)(ii);PCI:2.2,3.4,10.5,8.2.1; |
| [ams-nist-cis-securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | 安全中樞 | 定期 | 事件 | CIS:CIS.3、CIS.4、CIS.6、CIS.12、CIS.16、CIS.19;NIST-CSF:PR.DS-5,PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | EC2 | 組態變更 | 報告 | CIS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308(a)(5)(ii)(B);PCI:2.4; |
| [ams-nist-cis-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.16,CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.308(a)(5)(ii)(C),164.312(b);PCI:10.1、10.2.1、10.2.2、10.2.310.2.4、10.2.5、、10.2.610.2.7、10.3.1、10.3.2、、10.3.3、、10.3.4、10.3.510.3.6; |
| [ams-nist-cis-access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:2.2; |
| [ams-nist-cis-acm-certificate-expiration-check](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html) | Certificate Manager | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.AC-5,PR.PT-4;HEAA:NA;PCI:4.1; |
| [ams-nist-cis-alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | ALB | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.3,4.1,8.2.1; |
| [ams-nist-cis-api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | API Gateway | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| [ams-nist-cis-api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,,10.5.4; |
| [ams-nist-autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | ELB | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.PT-1,PR.PT-5;HIPAA:164.312(b);PCI:2.2; |
| [ams-nist-cis-cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,10.5; |
| [ams-nist-cis-cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:PR.DS-6;HIPAA:164.312(c)(1)、164.312(c)(2);PCI:2.2,10.5,11.5,10.5.2,10.5.5; |
| [ams-nist-cis-cloudtrail-s3-dataevents-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.2.1、10.2.2、10.2.3、10.2.5、10.3.110.3.2、10.3.3、10.3.4、10.3.5、、10.3.6; |
| [ams-nist-cis-cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | CloudWatch | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:NA;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| [ams-nist-cis-cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | CloudWatch | 定期 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:NA;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| [ams-nist-cis-codebuild-project-envvar-awscred-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html) | CodeBuild | 組態變更 | 報告 | CIS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1);PCI:8.2.1; |
| [ams-nist-cis-codebuild-project-source-repo-url-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html) | CodeBuild | 組態變更 | 報告 | CIS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1);PCI:8.2.1; |
| [ams-nist-cis-db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | RDS | 組態變更 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| [ams-nist-cis-dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) | DMS | 定期 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-dynamodb-autoscaling-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | DynamoDB | 定期 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(C);PCI:NA; |
| [ams-nist-cis-dynamodb-pitr-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | DynamoDB | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| [ams-nist-dynamodb-throughput-limit-check](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | DynamoDB | 定期 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-ebs-optimized-instance](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | EBS | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.308(a)(7)(i);PCI:NA; |
| [ams-nist-cis-ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | EBS | 定期 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-ec2-instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | EC2 | 組態變更 | 報告 | CIS:NA;NIST-CSF:DE.AE-1,PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-ec2-instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | EC2 | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | EC2 | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | EC2 | 組態變更 | 報告 | CIS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308(a)(5)(ii)(B);PCI:6.2; |
| [ams-nist-cis-ec2-stopped-instance](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html) | EC2 | 定期 | 報告 | CIS:CIS.2;NIST-CSF:ID.AM-2,PR.IP-1;HEAA:NA;PCI:NA; |
| [ams-nist-cis-ec2-volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | EC2 | 組態變更 | 報告 | 順式:CIS.2;NIST-CSF:PR.IP-1;HEAA:NA;PCI:NA; |
| [ams-nist-cis-efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | EFS | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-eip-attached](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html) | EC2 | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | ElastiCache | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| [ams-nist-cis-opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | OpenSearch | 定期 | 報告 | CIS:CIS.14,CIS.13;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) | OpenSearch | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | Certificate Manager | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2; |
| [ams-nist-elb-deletion-protection-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | ELB | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:4.1,8.2.1; |
| [ams-nist-cis-elb-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | ELB | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,10.5.4; |
| [ams-nist-cis-emr-kerberos-enabled](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | EMR | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,10.5.4; |
| [ams-nist-cis-emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) | EMR | 定期 | 報告 | CIS:CIS.14,CIS.16;NIST-CSF:PR.AC-1,PR.AC-4,PR.AC-6;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(c)(C),164.312(a);PCI:7.2.1; |
| [ams-nist-cis-encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | EBS | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | GuardDuty | 定期 | 報告 | CIS:CIS.12,CIS.13,CIS.16,CIS.19,CIS.3,CIS.4,CIS.6,CIS.8;NIST-CSF:DE.AE-2,DE.AE-3,DE.CM-4,DE.DP-5,ID.RA-1,ID.RA-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(5)(ii)(C),164.308(a)(6)(ii),164.312(b);PCI:6.1,11.4,5.1.2; |
| [ams-nist-iam-group-has-users-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-group-has-users-check.html) | IAM | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.AC-4,PR.AC-1;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:7.1.2,7.1.3,7.2.1); |
| [ams-nist-cis-iam-policy-no-statements-with-admin-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | IAM | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-6,PR.AC-7;HIPAA:164.308(a)(4)(ii)(B),164.308(a)(5)(ii)(D),164.312(d);PCI:8.2.3,8.2.4,8.2.5; |
| [ams-nist-cis-iam-user-group-membership-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-group-membership-check.html) | IAM | 組態變更 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(a)(2)(i);PCI:2.2,7.1.2,7.2.1,8.1; |
| [ams-nist-cis-iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | IAM | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-7;HIPAA:164.308(a)(4)(ii)(B),164.312(d);PCI:8.3; |
| [ams-nist-cis-iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a);PCI:2.2,7.1.2,7.13,7.2.2; |
| [ams-nist-cis-ec2-instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | EC2 | 組態變更 | 報告 | CIS:CIS.11,CIS.12,CIS.9;NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4;HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2.2 |
| [ams-nist-cis-internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) | 網際網路閘道 | 定期 | 報告 | CIS:CIS.9,CIS.12;NIST-CSF:NA;HEAA:NA;PCI:NA; |
| [ams-nist-cis-kms-cmk-not-scheduled-for-deletion](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | KMS | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HEAA:NA;PCI:3.5,3.6; |
| [ams-nist-lambda-concurrency-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | Lambda | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-lambda-dlq-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | Lambda | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | Lambda | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.ACPR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2.4,2.2; |
| [ams-nist-cis-lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) | Lambda | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,2.2; |
| [ams-nist-cis-mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| [ams-nist-cis-multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1,10.2.1、10.2.2、10.2.3、10.2.4、10.2.510.2.6、10.2.7、、10.3.1、10.3.2、10.3.3、10.3.4、10.3.510.3.6; |
| [ams-nist-rds-enhanced-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | RDS | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | RDS | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | RDS | 組態變更 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(C);PCI:NA; |
| [ams-nist-cis-rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | RDS | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | RDS | 組態變更 | 報告 | CIS:CIS.13、CIS.5、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312(a)(2)(iv)、164.312(b)、164.312(e)(2)(ii);PCI:3.4,10.1、10.2.1、10.2.310.2.2、、10.2.4、10.2.5、10.3.1、10.3.2、10.3.3、10.3.4、、10.3.5、、10.3.6、8.2.1; |
| [ams-nist-cis-redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | RedShift | 組態變更 | 報告 | CIS:CIS.6,CIS.13,CIS.5;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1;HIPAA:164.312(a)(2)(iv),164.312(b),164.312(e)(2)(ii);PCI:3.4,8.2.1,10.1,10.2.1、10.2.2、10.2.3、10.2.4、10.2.5、、10.3.1、10.3.3、10.3.2、10.3.410.3.5、10.3.6; |
| [ams-nist-cis-redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | RedShift | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | RedShift | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.3,4.1; |
| [ams-nist-cis-root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | IAM | 定期 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| [ams-nist-cis-root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | IAM | 定期 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| [ams-nist-cis-s3-bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | S3 | 組態變更 | 報告 | CIS:CIS.14,CIS.13;NIST-CSF:ID.BE-5,PR.PT-5,RC.RP-1;HEAA:NA;PCI:NA; |
| [ams-nist-cis-s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | S3 | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.2.1、10.2.2、10.2.3、10.2.4、10.2.5、10.2.7、10.3.110.3.2、10.3.3、10.3.4、、10.3.5、10.3.6; |
| [ams-nist-cis-s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | S3 | 組態變更 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:2.2,10.5.3; |
| [ams-nist-cis-s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | S3 | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.2,4.1,8.2.1; |
| [ams-nist-cis-s3-bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | S3 | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.DS-6,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B),164.312(c)(1),164.312(c)(2);PCI:10.5.3; |
| [ams-nist-cis-sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-notebook-no-direct-internet-access](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | SageMaker | 定期 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.ACPR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html) | Secrets Manager | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:NA; |
| [ams-nist-cis-secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | Secrets Manager | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:NA; |
| [ams-nist-cis-sns-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | SNS | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:8.2.1; |
| [ams-nist-cis-vpc-sg-open-only-to-authorized-ports](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | VPC | 組態變更 | 報告 | CIS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312(e)(1);PCI:1.2、1.3、1.2.1、1.3.1、1.3.2、2.2.2; |
| [ams-nist-vpc-vpn-2-tunnels-up](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | VPC | 組態變更 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i);PCI:NA; |
| [ams-cis-ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | EC2 | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,8.2.1; |
| [ams-cis-rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | RDS | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-cis-redshift-cluster-maintenancesettings-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | RedShift | 組態變更 | 報告 | CIS:CIS.5;NIST-CSF:PR.DS-4,PR.IP-1,PR.IP-4;HIPAA:164.308(a)(5)(ii)(A),164.308(a)(7)(ii)(A);PCI:6.2; |
## 在 Accelerate 中回應違規
所有組態規則違規都會出現在您的組態報告中。這是通用回應。根據規則的*修復類別 *(嚴重性),AMS 可能會採取其他動作,摘要如下表所示。如需如何為特定規則自訂*動作程式碼*的詳細資訊,請參閱 [自訂問題清單回應](custom-findings-responses.md)。
**修復動作**
| 動作代碼 | AMS 動作 |
| --- |--- |
| Report | [新增至 Config 報告](#acc-sec-compliance-response-universal) |
| Incident | [新增至 Config 報告](#acc-sec-compliance-response-universal) [Accelerate 中的自動事件報告](#acc-sec-compliance-response-incident) |
| Remediate | [新增至 Config 報告](#acc-sec-compliance-response-universal) [Accelerate 中的自動事件報告](#acc-sec-compliance-response-incident) [Accelerate 中的自動修復](#acc-sec-compliance-response-autoremediate) |
**請求其他說明**
**注意**
AMS 可以為您修復任何違規,無論其修復類別為何。若要請求協助,請提交服務請求,並指出您希望 AMS 使用「作為 AMS 設定規則修復的一部分」等評論來修復哪些資源,請修復非投訴資源 *RESOURCE\$1ARNS\$1OR\$1IDs* 資源 ARNs/IDs>,在帳戶中設定規則 *CONFIG\$1RULE\$1NAME*,並新增必要的輸入來修復違規。
AMS Accelerate 具有 AWS Systems Manager 自動化文件和 Runbook 的程式庫,可協助修復不合規的資源。
### 新增至 Config 報告
AMS 會產生 Config 報告,追蹤您帳戶中所有規則和資源的合規狀態。您可以從 CSDM 請求報告。您也可以從 AWS Config 主控台、 AWS CLI 或 AWS Config API 檢閱合規狀態。您的 Config 報告包括:
+ 在您的環境中發現潛在威脅和設定錯誤的首要不合規資源
+ 一段時間內資源和組態規則的合規
+ 設定規則描述、規則嚴重性,以及修正不合規資源的建議修補步驟
當任何資源進入不合規狀態時,資源狀態 (和規則狀態) 會在您的 Config 報告中變成**不合規**。如果規則屬於 **Config Report Only** 修復類別,根據預設,AMS 不會採取進一步動作。您可以隨時建立服務請求,向 AMS 請求其他協助或修復。
如需詳細資訊,請參閱[AWS 組態報告](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/on-request-reporting.html#acc-report-config-control-compliance)。
### Accelerate 中的自動事件報告
對於中度嚴重的規則違規,AMS 會自動建立事件報告,通知您資源已進入不合規狀態,並詢問您要執行的動作。在回應事件時,您有下列選項:
+ 請求 AMS 修復事件中列出的不合規資源。然後,我們會嘗試修復不合規的資源,並在解決基礎事件後通知您。
+ 您可以在 主控台或透過自動化部署系統 (例如 CI/CD 管道範本更新) 手動解決不合規項目;然後,您可以解決事件。不合規資源會根據規則的排程重新評估,如果資源評估為不合規,則會建立新的事件報告。
+ 您可以選擇不解析不合規資源,只解析事件。如果您稍後更新資源的組態, AWS Config 會觸發重新評估,並再次提醒您評估該資源的不合規情況。
### Accelerate 中的自動修復
最關鍵的規則屬於 **Auto Remediate** 類別。不遵守這些規則可能會嚴重影響帳戶的安全性和可用性。當資源違反下列其中一個規則時:
1. AMS 會自動透過事件報告通知您。
1. AMS 使用我們的自動化 SSM 文件開始自動化修復。
1. AMS 會在自動修復成功或失敗時更新事件報告。
1. 如果自動修復失敗,AMS 工程師會調查問題。
## 在 Accelerate 中建立規則例外狀況
AWS Config 規則 資源例外狀況功能可讓您針對特定規則禁止報告特定、不合規的資源。
**注意**
豁免的資源仍會在您的 Config Service AWS 主控台中顯示為**不合規**。豁免的資源會在 Config 報告 (resource\$1exception:True) 中出現特殊旗標。產生報告時,您的 CSDMs 可以根據該資料欄篩選掉這些資源。
如果您有已知不合規的資源,您可以在其組態報告中消除特定組態規則的特定資源。若要執行此作業:
提交服務請求以針對您的帳戶加速,其中包含要從報告中排除的組態規則和資源清單。您必須提供明確的業務理由 (例如,不需要報告未備份 *resource\$1name\$11* 和 *resource\$1name\$12*,因為我們不希望備份它們)。如需提交 Accelerate 服務請求的說明,請參閱 [在 Accelerate 中建立服務請求](creating-a-sr.md)。
將下列輸入 (針對每個資源新增包含所有必要欄位的個別區塊,如下所示) 貼到請求中,然後提交:
```
[
{
"resource_name": "resource_name_1",
"config_rule_name": "config_rule_name_1",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
},
{
"resource_name": "resource_name_2",
"config_rule_name": "config_rule_name_2",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
}
]
```
## 降低 Accelerate 中的 AWS Config 成本
您可以使用 選項定期記錄`AWS::EC2::Instance`資源類型,以減少 AWS Config 成本。定期記錄會每 24 小時擷取一次資源的最新組態變更,減少交付的變更數量。啟用時, AWS Config 只會在 24 小時期間結束時記錄資源的最新組態。這可讓您根據特定營運規劃、合規和稽核使用案例量身打造組態資料,而不需要持續監控。只有在您有依賴暫時性架構的應用程式時,才建議進行此變更,這表示您持續擴展或縮減執行個體的數量。
若要選擇加入`AWS::EC2::Instance`資源類型的定期記錄,請聯絡您的 AMS 交付團隊。
# 自訂問題清單回應
您可以選擇您希望 AMS Accelerate 如何回應某些問題清單 (不合規的 Config 規則)。您可以設定 AMS 來回應問題清單,方法是修復問題清單、請求您的核准進行修復,或在下一次的每月商業審查 (MBR) 中向您報告。您可以變更 AMS Accelerate Config 規則的預設回應。若要查看規則,請前往[組態合規 > 規則表](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html),或將規則表下載為 ZIP 檔案 [ams\$1config\$1rules.zip](samples/ams_config_rules.zip)。
變更預設回應可讓您修復更多問題清單,以協助您提高帳戶的安全性和合規狀態。當您修復更多問題清單時,需要等待手動檢閱和核准的案例較少。廣泛的 AMS 修復 Runbook 程式庫會持續修正不合規的資源,而且只會在需要時與您聯絡。
自訂回應只會與新資源或具有新事件的現有資源搭配使用。例如,在變更後變成不合規的資源。這是因為較舊的資源在修復之前往往需要更深入的檢查,並且更容易在建立或變更資源修復時強制執行資源修復。若要隨時請求修復任何資源的問題清單,請提交服務請求。
## 請求變更預設回應
雲端架構師 (CAs) 會在加入期間與您合作,以收集您的偏好設定。CAs 接著會在內部 AMS 系統上設定初始組態。加入後,建立服務請求以請求更新組態。您可以視需要請求任意次數的組態更新。請注意,操作只會更新建立服務請求之帳戶的組態。如果您需要同時更新多個帳戶,請聯絡您的 Cloud Architect。您的 CA 會要求您使用偏好設定來剪下服務請求,以供稽核之用。
## 變更問題清單和帳戶的預設回應
您一律需要每個帳戶和調查結果的回應偏好設定。AMS 提供預設回應 (請參閱[組態合規](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)),因此此組態是選用的。您可以將每個問題清單的預設回應變更為下列選項:
+ 修復:AMS 手動或自動修復問題清單。AMS 會檢閱修復,並讓您知道是否失敗。
+ 請求核准:AMS 會建立傳出案例,以通知您調查結果。當您想要在核准或排除問題清單之前檢閱問題清單時,請使用此選項。AMS 接著會執行您偏好的動作。
+ 無動作 (僅限報告):AMS 不採取任何動作來修復或呈報問題清單。問題清單可能仍然會出現在主控台上,以及在 MBRs期間呈現的報告。
**注意**
您無法變更 AMS 必須修復的規則組態。例如,啟用 Amazon GuardDuty 和 VPC 流程日誌。
## 依資源變更預設回應
您可以使用標籤進一步設定對特定資源的回應。您可以使用預先存在的標籤,或使用 Resource Tagger 標記資源。如需詳細資訊,請參閱 [加速資源交錯](acc-resource-tagger.md))。具有標籤的資源組態優先於問題清單的預設動作。當資源具有多個具有不同關聯組態的標籤時,AMS 無法執行自訂修復。反之,AMS 會傳送傳出服務請求給您,通知您此情況。例如,對於 [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) 調查結果,您可以:
+ 使用標籤鍵值對 "Regulated: True" 將回應變更為 'remediate' unencrypted S3 儲存貯體
+ 當未加密的 S3 儲存貯體具有 "Regulated: False" 標籤時,將回應變更為「no action」,以及
+ 將未加密 S3 儲存貯體的預設回應變更為「請求核准」。這適用於所有沒有「管制:True」或「管制:False」標籤的 S3 儲存貯體
您也可以新增執行自訂問題清單回應所需的輸入。例如,對於需要加密金鑰的修復,您可以將金鑰 IDs提供給 AMS。您可以變更修復 Runbook 的輸入參數,但 AMS 不支援與自訂 Runbook 整合。如需 Config 報告中 AMS 修復 Runbook 的說明,請參閱 [AWS Config 控制合規報告](acc-report-config-control-compliance.md)。