本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Hub CSPM 中的 CIS AWS Foundations 基準
Center for Internet Security (CIS) AWS Foundations Benchmark 可做為一組安全組態最佳實務 AWS。這些業界認可的最佳實務可為您提供清晰的step-by-step實作和評估程序。從作業系統到雲端服務和網路裝置,此基準中的控制項可協助您保護組織使用的特定系統。
AWS Security Hub CSPM 支援 CIS AWS Foundations Benchmark 5.0.0、3.0.0、1.4.0 和 1.2.0 版。此頁面列出每個版本支援的安全性控制項。它也提供 版本的比較。
## CIS AWS Foundations Benchmark 5.0.0 版
Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 5.0.0 版 (5.0.0 版)。Security Hub CSPM 已滿足 CIS 安全軟體認證的要求,並已獲得下列 CIS 基準的 CIS 安全軟體認證:
+ CIS AWS Foundations Benchmark 的 CIS 基準,第 5.0.0 版,第 1 級
+ CIS AWS Foundations Benchmark 的 CIS 基準指標,第 5.0.0 版,第 2 級
### 適用於 CIS AWS Foundations Benchmark 5.0.0 版的控制項
[【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)
[【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
[【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)
[【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)
[【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)
[【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
[【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)
[【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)
[【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)
[【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-53)
[【EC2.54】 EC2 安全群組不應允許從 ::/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-54)
[【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1)
[【EFS.8】 EFS 檔案系統應靜態加密](efs-controls.md#efs-8)
[【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
[【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
[【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)
[【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
[【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
[【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)
[【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26)
[【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27)
[【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器](iam-controls.md#iam-28)
[【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)
[【RDS.2】 RDS 資料庫執行個體應禁止公開存取,由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)
[[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)
[【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5)
[【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)
[【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15)
[【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)
[【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)
[【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)
[【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)
[【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件](s3-controls.md#s3-22)
[【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark 3.0.0 版
Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 3.0.0 版 (v3.0.0)。Security Hub CSPM 已滿足 CIS 安全軟體認證的要求,並已獲得下列 CIS 基準的 CIS 安全軟體認證:
+ CIS AWS Foundations Benchmark 的 CIS Benchmark,第 3.0.0 版,第 1 級
+ CIS AWS Foundations Benchmark 的 CIS 基準指標,第 3.0.0 版,第 2 級
### 適用於 CIS AWS Foundations Benchmark 3.0.0 版的控制項
[【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)
[【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
[【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)
[【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)
[【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)
[【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
[【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)
[【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)
[【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)
[【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-53)
[【EC2.54】 EC2 安全群組不應允許從 ::/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-54)
[【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1)
[【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
[【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
[【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)
[【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
[【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
[【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)
[【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26)
[【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27)
[【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器](iam-controls.md#iam-28)
[【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)
[【RDS.2】 RDS 資料庫執行個體應禁止公開存取,由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)
[[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)
[【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)
[【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)
[【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)
[【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)
[【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)
[【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件](s3-controls.md#s3-22)
[【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark 1.4.0 版
Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 1.4.0 版 (1.4.0 版)。
### 適用於 CIS AWS Foundations Benchmark 1.4.0 版的控制項
[【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
[【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5)
[【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取](cloudtrail-controls.md#cloudtrail-6)
[【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)
[【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)
[【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4)
[【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5)
[【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6)
[【CloudWatch.7] 確保日誌指標篩選條件和警示存在,以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7)
[【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8)
[【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9)
[【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10)
[【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11)
[【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12)
[【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13)
[【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14)
[【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)
[【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)
[【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
[【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)
[【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)
[【IAM.1】 IAM 政策不應允許完整的「\*」管理權限](iam-controls.md#iam-1)
[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
[【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
[【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)
[【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
[【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
[【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)
[【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)
[[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)
[【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)
[【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)
[【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)
[【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)
## CIS AWS Foundations Benchmark 1.2.0 版
Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的 1.2.0 版 (1.2.0 版)。Security Hub CSPM 已滿足 CIS 安全軟體認證的要求,並已獲得下列 CIS 基準的 CIS 安全軟體認證:
+ CIS AWS Foundations Benchmark 的 CIS 基準,第 1.2.0 版,第 1 級
+ CIS AWS Foundations Benchmark 的 CIS Benchmark,第 1.2.0 版,第 2 級
### 適用於 CIS AWS Foundations Benchmark 1.2.0 版的控制項
[【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
[【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
[【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5)
[【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取](cloudtrail-controls.md#cloudtrail-6)
[【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7)
[【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)
[【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2)
[【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-3)
[【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4)
[【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5)
[【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6)
[【CloudWatch.7] 確保日誌指標篩選條件和警示存在,以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7)
[【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8)
[【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9)
[【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10)
[【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11)
[【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12)
[【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13)
[【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14)
[【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)
[【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)
[【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
[【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22](ec2-controls.md#ec2-13)
[【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389](ec2-controls.md#ec2-14)
[【IAM.1】 IAM 政策不應允許完整的「\*」管理權限](iam-controls.md#iam-1)
[【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
[【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
[【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
[[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
[[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
[【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)
[【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)
[【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11)
[【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12)
[【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13)
[【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14)
[【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
[【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
[【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17)
[【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
[【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)
## CIS AWS Foundations Benchmark 的版本比較
本節摘要說明 Center for Internet Security (CIS) AWS Foundations Benchmark—v5.0.0、v3.0.0、v1.4.0 和 v1.2.0 的特定版本之間的差異。 AWS Security Hub CSPM 支援 CIS AWS Foundations Benchmark 的每個版本。不過,我們建議您使用 v5.0.0 來保持最新的安全最佳實務。您可以同時啟用多個版本的 CIS AWS Foundations Benchmark 標準。如需啟用標準的資訊,請參閱 [啟用安全標準](enable-standards.md)。如果您想要升級至 v5.0.0,請在停用舊版之前啟用它。這可以防止安全檢查中的差距。如果您使用 Security Hub CSPM 與 整合, AWS Organizations 並想要在多個帳戶中批次啟用 v5.0.0,我們建議您使用[中央組態](central-configuration-intro.md)。
### 將控制項映射至每個版本中的 CIS 需求
了解哪些 控制 CIS AWS Foundations Benchmark 支援的每個版本。
| 控制項 ID 和標題 | CIS v5.0.0 需求 | CIS v3.0.0 需求 | CIS v1.4.0 需求 | CIS v1.2.0 需求 |
| --- | --- | --- | --- | --- |
| [【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1) | 1.2 | 1.2 | 1.2 | 1.18 |
| [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1) | 3.1 | 3.1 | 3.1 | 2.1 |
| [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2) | 3.5 | 3.5 | 3.7 | 2.7 |
| [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4) | 3.2 | 3.2 | 3.2 | 2.2 |
| [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 3.4 | 2.4 |
| [【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取](cloudtrail-controls.md#cloudtrail-6) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 3.3 | 2.3 |
| [【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄](cloudtrail-controls.md#cloudtrail-7) | 3.4 | 3.4 | 3.6 | 2.6 |
| [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.3 | 3.3 |
| [【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 3.1 |
| [【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-3) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 3.2 |
| [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.4 | 3.4 |
| [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.5 | 3.5 |
| [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.6 | 3.6 |
| [【CloudWatch.7] 確保日誌指標篩選條件和警示存在,以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.7 | 3.7 |
| [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.8 | 3.8 |
| [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.9 | 3.9 |
| [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.10 | 3.10 |
| [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.11 | 3.11 |
| [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.12 | 3.12 |
| [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.13 | 3.13 |
| [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 4.14 | 3.14 |
| [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) | 3.3 | 3.3 | 3.5 | 2.5 |
| [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2) | 5.5 | 5.4 | 5.3 | 4.3 |
| [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6) | 3.7 | 3.7 | 3.9 | 2.9 |
| [【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7) | 5.1.1 | 2.2.1 | 2.2.1 | 不支援 |
| [【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8) | 5.7 | 5.6 | 不支援 | 不支援 |
| [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22](ec2-controls.md#ec2-13) | 不支援 – 由需求 5.3 和 5.4 取代 | 不支援 – 由需求 5.2 和 5.3 取代 | 不支援 – 由需求 5.2 和 5.3 取代 | 4.1 |
| [【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389](ec2-controls.md#ec2-14) | 不支援 – 由需求 5.3 和 5.4 取代 | 不支援 – 由需求 5.2 和 5.3 取代 | 不支援 – 由需求 5.2 和 5.3 取代 | 4.2 |
| [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21) | 5.2 | 5.1 | 5.1 | 不支援 |
| [【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-53) | 5.3 | 5.2 | 不支援 | 不支援 |
| [【EC2.54】 EC2 安全群組不應允許從 ::/0 傳入遠端伺服器管理連接埠](ec2-controls.md#ec2-54) | 5.4 | 5.3 | 不支援 | 不支援 |
| [【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1) | 2.3.1 | 2.4.1 | 不支援 | 不支援 |
| [【EFS.8】 EFS 檔案系統應靜態加密](efs-controls.md#efs-8) | 2.3.1 | 不支援 | 不支援 | 不支援 |
| [【IAM.1】 IAM 政策不應允許完整的「\*」管理權限](iam-controls.md#iam-1) | 不支援 | 不支援 | 1.16 | 1.22 |
| [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2) | 1.14 | 1.15 | 不支援 | 1.16 |
| [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3) | 1.13 | 1.14 | 1.14 | 1.4 |
| [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4) | 1.3 | 1.4 | 1.4 | 1.12 |
| [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5) | 1.9 | 1.10 | 1.10 | 1.2 |
| [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6) | 1.5 | 1.6 | 1.6 | 1.14 |
| [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8) | 不支援 – 請[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)改為參閱 | 不支援 – 請[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)改為參閱 | 不支援 – 請[【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)改為參閱 | 1.3 |
| [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9) | 1.4 | 1.5 | 1.5 | 1.13 |
| [【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 1.5 |
| [【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 1.6 |
| [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 1.7 |
| [【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 1.8 |
| [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15) | 1.7 | 1.8 | 1.8 | 1.9 |
| [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16) | 1.8 | 1.9 | 1.9 | 1.10 |
| [【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 1.11 |
| [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18) | 1.16 | 1.17 | 1.17 | 1.2 |
| [【IAM.20】 避免使用根使用者](iam-controls.md#iam-20) | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 不支援 – CIS 已移除此要求 | 1.1 |
| [【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22) | 1.11 | 1.12 | 1.12 | 不支援 – CIS 在較新版本中新增此需求 |
| [【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26) | 1.18 | 1.19 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 |
| [【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27) | 1.21 | 1.22 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 |
| [【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器](iam-controls.md#iam-28) | 1.19 | 1.20 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 |
| [【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4) | 3.6 | 3.6 | 3.8 | 2.8 |
| [【Macie.1】 應啟用 Amazon Macie](macie-controls.md#macie-1) | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 不支援 – 手動檢查 | 不支援 – 手動檢查 |
| [【RDS.2】 RDS 資料庫執行個體應禁止公開存取,由 PubliclyAccessible 組態決定](rds-controls.md#rds-2) | 2.2.3 | 2.3.3 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 |
| [[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3) | 2.2.1 | 2.3.1 | 2.3.1 | 不支援 – CIS 在較新版本中新增此需求 |
| [【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5) | 2.2.4 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 |
| [【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13) | 2.2.2 | 2.3.2 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 |
| [【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15) | 2.2.4 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 | 不支援 – CIS 在較新版本中新增此需求 |
| [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1) | 2.1.4 | 2.1.4 | 2.1.5 | 不支援 – CIS 在較新版本中新增此需求 |
| [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5) | 2.1.1 | 2.1.1 | 2.1.2 | 不支援 – CIS 在較新版本中新增此需求 |
| [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8) | 2.1.4 | 2.1.4 | 2.1.5 | 不支援 – CIS 在較新版本中新增此需求 |
| [【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20) | 2.1.2 | 2.1.2 | 2.1.3 | 不支援 – CIS 在較新版本中新增此需求 |
### CIS AWS Foundations Benchmarks ARNs
當您啟用一個或多個版本的 CIS AWS Foundations Benchmark 時,您會開始在 AWS 安全調查結果格式 (ASFF) 中接收調查結果。在 ASFF 中,每個版本使用以下 Amazon Resource Name (ARN):
**CIS AWS Foundations Benchmark 5.0.0 版**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/5.0.0`
**CIS AWS Foundations Benchmark 3.0.0 版**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/3.0.0`
**CIS AWS Foundations Benchmark 1.4.0 版**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/1.4.0`
**CIS AWS Foundations Benchmark 1.2.0 版**
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`
您可以使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)的操作來尋找已啟用標準的 ARN。
上述值適用於 `StandardsArn`。不過, `StandardsSubscriptionArn`是指 Security Hub CSPM 在您透過[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)在區域中呼叫 來訂閱標準時建立的標準訂閱資源。
**注意**
當您啟用 CIS AWS Foundations Benchmark 的版本時,Security Hub CSPM 最多可能需要 18 小時才能產生控制項的調查結果,這些控制項使用與其他已啟用標準中已啟用控制項相同的 AWS Config 服務連結規則。如需產生控制項調查結果之排程的詳細資訊,請參閱 [執行安全檢查的排程](securityhub-standards-schedule.md)。
如果您開啟合併控制問題清單,問題清單欄位會有所不同。如需這些差異的詳細資訊,請參閱 [整合對 ASFF 欄位和值的影響](asff-changes-consolidation.md)。如需範例控制調查結果,請參閱 [控制問題清單的範例](sample-control-findings.md)。
### Security Hub CSPM 不支援的 CIS 需求
如上表所述,Security Hub CSPM 不支援每個 CIS AWS Foundations Benchmark 版本中的每個 CIS 要求。許多不支援的需求只能透過手動檢閱 AWS 資源的狀態來評估。