Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Kuratierte Regeln SCPs und Konfigurationsregeln
Kuratierte Regeln SCPs und Konfigurationsregeln für AMS Advanced.
+ **Richtlinien zur Dienststeuerung (SCPs)**: Die bereitgestellten Richtlinien SCPs gelten zusätzlich zu den AMS-Standardrichtlinien.
Sie können diese Bibliothekssteuerungen zusammen mit den Standardsteuerungen verwenden, um bestimmte Sicherheitsanforderungen zu erfüllen.
+ **Konfigurationsregeln**: Als Basismaßnahme empfiehlt AMS, zusätzlich zu den standardmäßigen AMS-Konfigurationsregeln (Standardregeln unter AMS-Artefakte) [Conformance Packs](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) (siehe Conformance Packs im AWS Config Handbuch) anzuwenden. Die Conformance Packs decken einen Großteil der Compliance-Anforderungen ab und werden von AWS regelmäßig aktualisiert.
Die hier aufgeführten Regeln können verwendet werden, um anwendungsfallspezifische Lücken zu schließen, die nicht durch Conformance Packs abgedeckt werden
**Anmerkung**
Da die AMS-Standardregeln und Konformitätspakete im Laufe der Zeit aktualisiert werden, werden Sie möglicherweise Duplikate dieser Regeln sehen.
AMS empfiehlt generell, doppelte Konfigurationsregeln regelmäßig zu bereinigen.
Für AMS Advanced sollten Config Rules keine automatischen Korrekturen verwenden (siehe [Behebung nicht konformer AWS-Ressourcen durch AWS-Konfigurationsregeln](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)), um Änderungen zu vermeiden. out-of-band
## SCP-AMS-001: Beschränken Sie die EBS-Erstellung
Verhindern Sie die Erstellung von EBS-Volumes, wenn Sie die Verschlüsselung nicht aktiviert haben.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: Beschränken Sie den EC2-Start
Verhindern Sie den Start einer EC2-Instance, wenn das EBS-Volume unverschlüsselt ist. Dazu gehört auch, dass ein unverschlüsselter EC2-Start verweigert wird, AMIs da dieser SCP auch für Root-Volumes gilt.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: RFC-Einreichungen einschränken
Schränken Sie die Übermittlung bestimmter automatisierter Funktionen RFCs wie **Create VPC oder **Delete VPC**** ein. Dies ist hilfreich, wenn Sie detailliertere Berechtigungen auf Ihre Verbundrollen anwenden möchten.
Sie möchten beispielsweise, dass standardmäßig `AWSManagedServicesChangeManagement Role` die meisten verfügbaren Daten übermittelt werden können, RFCs mit Ausnahme derjenigen, die das Erstellen und Löschen einer VPC, das Erstellen zusätzlicher Subnetze, das Offboarding eines Anwendungskontos, das Aktualisieren oder Löschen von SAML-Identitätsanbietern ermöglichen:
## SCP-AMS-003: Schränkt die EC2- oder RDS-Erstellung in AMS ein
Verhindern Sie die Erstellung von Amazon EC2- und RDS-Instances, die keine spezifischen Tags haben, und lassen Sie dies gleichzeitig der `AMS Backup IAM` AMS-Standardrolle zu. Dies ist für Disaster Recovery oder DR erforderlich.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: S3-Uploads einschränken
Verhindern Sie das Hochladen unverschlüsselter S3-Objekte.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: Beschränken Sie den API- und Konsolenzugriff
Verhindern Sie als Kunde den Zugriff auf AWS-Konsole und API für Anfragen, die von bekannten schlechten IP-Adressen kommen InfoSec.
## SCP-AMS-006: Verhindert, dass die IAM-Entität das Mitgliedskonto aus der Organisation entfernt
Verhindern Sie, dass eine AWS Identity and Access Management Entität Mitgliedskonten aus der Organisation entfernt.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: Verhindern Sie die gemeinsame Nutzung von Ressourcen mit Konten außerhalb Ihrer Organisation
Vermeiden Sie die gemeinsame Nutzung von Ressourcen mit externen Konten außerhalb Ihrer AWS Organisation
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: Das Teilen mit Organisationen oder Organisationseinheiten verhindern () OUs
Verhindern Sie die gemeinsame Nutzung von Ressourcen mit einer and/or Account-Organisationseinheit, die sich in einer Organisation befindet.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: Hindert Benutzer daran, Einladungen zur gemeinsamen Nutzung von Ressourcen anzunehmen
Verhindern Sie, dass Mitgliedskonten Einladungen AWS RAM zum Beitritt zu Resource Shares annehmen. Diese API unterstützt keine Bedingungen und verhindert, dass Inhalte nur von externen Konten geteilt werden.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: Aktionen zur Aktivierung und Deaktivierung der Kontoregion verhindern
Verhindern Sie die Aktivierung oder Deaktivierung neuer AWS Regionen für Ihre AWS Konten.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: Aktionen zur Änderung der Abrechnung verhindern
Vermeiden Sie Änderungen an der Abrechnungs- und Zahlungskonfiguration.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: Verhindert das Löschen oder Ändern bestimmter CloudTrails
Verhindern Sie Änderungen an bestimmten AWS CloudTrail Pfaden.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: Verhindert die Deaktivierung der Standard-EBS-Verschlüsselung
Verhindern Sie die Deaktivierung der standardmäßigen Amazon EBS-Verschlüsselung.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: Das Erstellen einer Standard-VPC und eines Subnetzes verhindern
Verhindern Sie die Erstellung einer standardmäßigen Amazon-VPC und von Subnetzen.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: Verhindert das Deaktivieren und Ändern GuardDuty
Verhindern Sie, dass Amazon GuardDuty geändert oder deaktiviert wird.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: Root-Benutzeraktivitäten verhindern
Verhindern Sie, dass der Root-Benutzer eine Aktion ausführt.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: Verhindert die Erstellung von Zugriffsschlüsseln für den Root-Benutzer
Verhindern Sie die Erstellung von Zugriffsschlüsseln für den Root-Benutzer.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: Verhindert die Deaktivierung der Sperrung des öffentlichen Zugriffs auf das S3-Konto
Verhindern Sie die Deaktivierung der Sperrung des öffentlichen Zugriffs auf ein Amazon S3 S3-Konto. Dadurch wird verhindert, dass ein Bucket im Konto veröffentlicht wird.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: Verhindern, dass AWS Config deaktiviert oder Config-Regeln geändert werden
Verhindern Sie das Deaktivieren oder Ändern von AWS Config Regeln.
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: Alle IAM-Aktionen verhindern
Alle IAM-Aktionen verhindern.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: Verhindert das Löschen von Log-Gruppen und Streams CloudWatch
Verhindern Sie das Löschen von Amazon CloudWatch Logs-Gruppen und -Streams.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Das Löschen von Glacier verhindern
Verhindern Sie das Löschen von Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: Das Löschen von IAM Access Analyzer verhindern
Verhindern Sie das Löschen von IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Änderungen am Security Hub CSPM verhindern
Verhindern Sie das Löschen von. AWS Security Hub CSPM
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: Löschen unter Directory Service verhindern
Verhindern Sie das Löschen von Ressourcen unter Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: Die Nutzung eines Dienstes auf der Denylist verhindern
Verhindern Sie die Nutzung von Diensten, die auf der Liste stehen.
**Anmerkung**
Ersetzen Sie {{service1}} und {{service2}} durch Ihre Dienstnamen. Beispiel {{access-analyzer}} oder{{IAM}}.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["{{service1}}:*", "{{service2}}:*"]
}
```
## SCP-AMS-027: Verhindert die Nutzung von Diensten, die auf der Liste stehen, in bestimmten Regionen
Verhindern Sie die Nutzung von Diensten, die auf der Liste stehen, in bestimmten Regionen. AWS
**Anmerkung**
Ersetzen Sie {{service1}} und {{service2}} durch Ihre Dienstnamen. Beispiel {{access-analyzer}} oder{{IAM}}.
Ersetzen Sie {{region1}} und {{region2}} durch Ihre Dienstnamen. Beispiel {{us-west-2}} oder{{use-east-1}}.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["{{service1}}:*", "{{service2}}:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"{{region1}}",
"{{region2}}"
]
}
}
}
```
## SCP-AMS-028: Verhindert, dass Tags geändert werden, außer durch autorisierte Principals
Verhindern Sie, dass Tag-Änderungen durch alle Benutzer außer den autorisierten Hauptbenutzern vorgenommen werden. Verwenden Sie Autorisierungs-Tags, um Principals zu autorisieren. Autorisierungs-Tags müssen Ressourcen und Prinzipalen zugeordnet sein. A user/role gilt nur dann als autorisiert, wenn das Tag sowohl auf der Ressource als auch auf dem Prinzipal übereinstimmt. Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Sicherung der für die Autorisierung verwendeten Ressourcen-Tags mithilfe einer Dienststeuerungsrichtlinie in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Verhindern Sie, dass Tags nur von autorisierten Prinzipalen geändert werden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{{{ACCOUNT_ID}}}:{{{RESOURCE_TYPE}}}/{{{RESOURCE_NAME}}}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: Benutzer daran hindern, Amazon VPC Flow Logs zu löschen
Verhindern Sie das Löschen von Amazon VPC Flow Logs.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: Die gemeinsame Nutzung des VPC-Subnetzes mit einem anderen Konto als dem Netzwerkkonto verhindern
Vermeiden Sie die gemeinsame Nutzung von Amazon VPC-Subnetzen mit anderen Konten als dem Netzwerkkonto.
**Anmerkung**
Ersetzen Sie es {{NETWORK\_ACCOUNT\_ID}} durch Ihre Netzwerkkonto-ID.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "{{NETWORK_ACCOUNT_ID}}"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: Verhindert das Starten von Instances mit verbotenen Instanztypen
Verhindern Sie das Starten verbotener Amazon EC2 EC2-Instance-Typen.
**Anmerkung**
Ersetzen Sie {{instance\_type1}} und {{instance\_type2}} durch die Instance-Typen, die Sie einschränken möchten, z. B. {{t2.micro}} oder durch eine Platzhalterzeichenfolge wie. {{\*.nano}}
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"{{instance_type1}}",
"{{instance_type2}}"
]
}
}
}
```
## SCP-AMS-032: Verhindert das Starten von Instanzen ohne IMDSv2
Vermeiden Sie Amazon EC2 EC2-Instances ohne IMDSv2.
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: Änderungen an einer bestimmten IAM-Rolle verhindern
Verhindern Sie Änderungen an bestimmten IAM-Rollen.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{{{ACCOUNT_ID}}}:role/{{{RESOURCE_NAME}}}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: Verhindert Änderungen an bestimmten IAM-Rollen AssumeRolePolicy
Verhindert Änderungen an den vier AssumeRolePolicy angegebenen IAM-Rollen.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{{{ACCOUNT_ID}}}:role/{{{RESOURCE_NAME}}}"
],
"Effect": "Deny"
}
```
## ConfigRule: Erforderliche Tags
Prüfen Sie, ob EC2-Instances über benutzerdefinierte Tags verfügen, die Sie benötigt haben. Darüber hinaus ist dies auch nützlich für Ihr Kostenmanagement InfoSec
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: Zugriffstaste gedreht
Vergewissern Sie sich, dass die Zugriffsschlüssel innerhalb des angegebenen Zeitraums rotiert werden. In der Regel sind dies 90 Tage gemäß den typischen Compliance-Anforderungen.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: IAM-Root-Zugriffsschlüssel in AMS
Stellen Sie sicher, dass in einem Konto kein Root-Zugriffsschlüssel vorhanden ist. Bei AMS Advanced-Konten wird davon ausgegangen, dass dies konform ist out-of-the-box.
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: Von SSM verwaltetes EC2
Vergewissern Sie EC2s sich, dass Sie von SSM Systems Manager verwaltet werden.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: Ungenutzter IAM-Benutzer in AMS
Sucht nach IAM-Benutzeranmeldedaten, die für einen bestimmten Zeitraum nicht verwendet wurden. Wie bei der Schlüsselrotationsprüfung werden auch hier in der Regel 90 Tage für typische Compliance-Anforderungen vorgegeben.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: S3-Bucket-Protokollierung
Vergewissern Sie sich, dass die Protokollierung für S3-Buckets im Konto aktiviert wurde.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: Versionierung von S3-Buckets
Vergewissern Sie sich, dass Versionierung und MFA-Delete (optional) für alle S3-Buckets aktiviert sind
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: Öffentlicher S3-Zugriff
Vergewissern Sie sich, dass die Einstellungen für den öffentlichen Zugriff (Public ACL, Public Policy, Public Buckets) für das gesamte Konto eingeschränkt sind
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: Nicht archivierte Ergebnisse GuardDuty
Suchen Sie nach nicht archivierten GuardDuty Ergebnissen, die älter als die angegebene Dauer sind. Die Standarddauer beträgt 30 Tage für Befunde mit niedriger Geschwindigkeit, 7 Tage für Ergebnisse mit mittlerer Geschwindigkeit und 1 Tag für Ergebnisse mit hoher Geschwindigkeit.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK-Löschung
Suchen Sie nach AWS Key Management Service benutzerdefinierten Hauptschlüsseln (CMKs), deren Löschung geplant ist (auch bekannt als ausstehend). Dies ist von entscheidender Bedeutung, da Unwissenheit über das Löschen von CMK dazu führen kann, dass Daten nicht wiederhergestellt werden können
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK-Rotation
Vergewissern Sie sich, dass die automatische Rotation für jeden CMK im Konto aktiviert ist
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```