Erforderliche Ressourcen für alle Security Hub-Steuerelemente Erforderliche Ressourcen für den FSBP-Standard Erforderliche Ressourcen für CIS AWS Foundations Benchmark Erforderliche Ressourcen für NIST SP 800-53 Rev. 5 Erforderliche Ressourcen für PCI DSS v3.2.1 Erforderliche Ressourcen für AWS Resource Tagging Standard Erforderliche Ressourcen für Service-Managed Standard: AWS Control Tower

Erforderliche AWS Config Ressourcen für die Ergebnisse der Security Hub Hub-Kontrolle

Einige AWS Security Hub Kontrollen verwenden dienstbezogene AWS Config Regeln, die Konfigurationsänderungen in Ihren AWS Ressourcen erkennen. Damit Security Hub genaue Kontrollergebnisse generieren kann, müssen Sie die Ressourcenaufzeichnung in aktivieren AWS Config und einschalten AWS Config. Informationen darüber, wie Security Hub AWS Config Regeln verwendet und wie sie aktiviert und konfiguriert werden AWS Config, finden Sie unterAktivierung und Konfiguration AWS Config für Security Hub.

Um genaue Kontrollergebnisse zu erhalten, müssen Sie die AWS Config Ressourcenaufzeichnung für aktivierte Kontrollen mit einem Zeitplantyp aktivieren, der von einer Änderung ausgelöst wurde. Für einige Steuerelemente mit einem periodischen Zeitplan ist auch eine Ressourcenaufzeichnung erforderlich.

Auf dieser Seite sind die erforderlichen Ressourcen für jedes Security Hub-Steuerelement aufgeführt.

Security Hub-Steuerelemente können auf verwalteten AWS Config Regeln oder benutzerdefinierten Security Hub Hub-Regeln basieren. Stellen Sie sicher, dass in Organizations keine AWS Identity and Access Management (IAM-) Richtlinie oder Richtlinie verwaltet wird, die AWS Config verhindert, dass Sie Ihre Ressourcen aufzeichnen dürfen. Security Hub Hub-Kontrollprüfungen werten direkt die Konfiguration einer Ressource aus und berücksichtigen Organizations die Unternehmensrichtlinien. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter Liste der AWS Config verwalteten Regeln — Überlegungen im AWS Config Entwicklerhandbuch.

Anmerkung

AWS-Regionen Wenn ein Steuerelement nicht verfügbar ist, ist die entsprechende Ressource in nicht verfügbar AWS Config. Eine Liste der regionalen Beschränkungen für Security Hub-Steuerungen finden Sie unterRegionale Beschränkungen der Security Hub-Steuerungen.

Erforderliche Ressourcen für alle Security Hub-Steuerelemente

Damit Security Hub Ergebnisse für aktivierte, von Security Hub Hub-Änderungen ausgelöste Kontrollen generiert, die eine AWS Config Regel verwenden, müssen Sie diese Ressourcen in aufzeichnen AWS Config. In dieser Tabelle ist auch angegeben, welche Kontrollen eine bestimmte Ressource bewerten. Ein einzelnes Steuerelement kann mehr als eine Ressource auswerten.

Service	Erforderliche Ressource	Verwandte Kontrollen
Amazon API Gateway	`AWS::ApiGateway::Stage`	APIGateway1. APIGateway2. APIGateway3. APIGateway4. APIGateway5.
Amazon API Gateway	`AWS::ApiGatewayV2::Stage`	APIGateway1. APIGateway9.
AWS AppConfig	`AWS::AppConfig::Application`	AppConfig1.
	`AWS::AppConfig::ConfigurationProfile`	AppConfig2.
	`AWS::AppConfig::Environment`	AppConfig3.
	`AWS::AppConfig::ExtensionAssociation`	AppConfig4.
Amazon AppFlow	`AWS::AppFlow::Flow`	AppFlow1.
AWS App Runner	`AWS::AppRunner::Service`	AppRunner1.
AWS App Runner	`AWS::AppRunner::VpcConnector`	AppRunner2.
AWS AppSync	`AWS::AppSync::GraphQLApi`	AppSync2. AppSync4. AppSync5.
AWS AppSync	`AWS::AppSync::ApiCache`	AppSync1. AppSync6.
AWS Backup (AWS Backup)	`AWS::Backup::BackupPlan`	Sicherung.5
	`AWS::Backup::BackupVault`	Sicherung.3
	`AWS::Backup::RecoveryPoint`	Sicherung.1 Sicherung.2
	`AWS::Backup::ReportPlan`	Sicherung.4
AWS Batch	`AWS::Batch::ComputeEnvironment`	Charge.3
	`AWS::Batch::JobQueue`	Charge.1
	`AWS::Batch::SchedulingPolicy`	Charge.2
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`	ACM.1 ACM.2 ACM. 3
Amazon Athena	`AWS::Athena::DataCatalog`	Athena.2
Amazon Athena	`AWS::Athena::WorkGroup`	Athena.3 Athena.4
AWS CloudFormation	`AWS::CloudFormation::Stack`	CloudFormation2.
Amazon CloudFront	`AWS::CloudFront::Distribution`	CloudFront1. CloudFront3. CloudFront4. CloudFront5. CloudFront6. CloudFront.7 CloudFront.8 CloudFront.9 CloudFront.10 CloudFront.13 CloudFront.14
AWS CloudTrail	`AWS::CloudTrail::Trail`	CloudTrail.9
Amazon CloudWatch	`AWS::CloudWatch::Alarm`	CloudWatch1,5 CloudWatch.17
AWS CodeArtifact	`AWS::CodeArtifact::Repository`	CodeArtifact1.
AWS CodeBuild	`AWS::CodeBuild::Project`	CodeBuild1. CodeBuild2. CodeBuild3. CodeBuild4.
AWS CodeBuild	`AWS::CodeBuild::ReportGroup`	CodeBuild.7
Amazon CodeGuru Profiler	`AWS::CodeGuruProfiler::ProfilingGroup`	CodeGuruProfiler1.
CodeGuru Amazon-Rezensent	`AWS::CodeGuruReviewer::RepositoryAssociation`	CodeGuruReviewer1.
Amazon Cognito	`AWS::Cognito::UserPool`	Kognito. 1
Amazon Cognito	`AWS::Cognito::UserPool`	Kognito. 1
Amazon Connect	`AWS::CustomerProfiles::ObjectType`	Verbinden.1
AWS DataSync	`AWS::DataSync::Task`	DataSync1.
Amazon Detective	`AWS::Detective::Graph`	Detektiv.1
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Certificate`	DMS.2
	`AWS::DMS::Endpoint`	`DMS.9` `DMS.10` `DMS.11` `DMS.12`
	`AWS::DMS::EventSubscription`	DMS.3
	`AWS::DMS::ReplicationInstance`	DMS.4 DMS.6
	`AWS::DMS::ReplicationSubnetGroup`	DMS. 5
	`AWS::DMS::ReplicationTask`	DMS. 7 DMS. 8
Amazon-DynamoDB	`AWS::DynamoDB::Table`	DynamoDB.1 DynamoDB.2 Dynamo DB.5 Dynamo DB,6
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint`	EC25.1
	`AWS::EC2::CustomerGateway`	EC25,6
	`AWS::EC2::EIP`	EC2.12 EC2.37
	`AWS::EC2::FlowLog`	EC24,8
	`AWS::EC2::Instance`	EC24. EC2.8 EC2.9 EC2.17 EC2.24 EC23,8 EMR.1 SSM.1
	`AWS::EC2::InternetGateway`	EC2.39
	`AWS::EC2::LaunchTemplate`	EC2.25 EC21,70
	`AWS::EC2::NatGateway`	EC2.40
	`AWS::EC2::NetworkAcl`	EC2.16 EC2.21 EC24,1
	`AWS::EC2::NetworkInterface`	EC2.22 EC2.35
	`AWS::EC2::RouteTable`	EC24,2
	`AWS::EC2::SecurityGroup`	EC22. EC2.13 EC2.14 EC2.18 EC2.19 EC24,3
	`AWS::EC2::Subnet`	EC2.15 EC24,4 ElastiCache.7
	`AWS::EC2::TransitGateway`	EC22,3 EC25,2
	`AWS::EC2::TransitGatewayAttachment`	EC2.33
	`AWS::EC2::TransitGatewayRouteTable`	EC2.34
	`AWS::EC2::Volume`	EC23. EC24,5
	`AWS::EC2::VPC`	EC2.6 EC24,6
	`AWS::EC2::VPCBlockPublicAccessOptions`	EC21,72
	`AWS::EC2::VPCEndpointService`	EC24,7
	`AWS::EC2::VPCPeeringConnection`	EC24,9
	`AWS::EC2::VPNConnection`	EC2.20 EC2.171
	`AWS::EC2::VPNGateway`	EC25,0
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`	AutoScaling1. AutoScaling2. AutoScaling6. AutoScaling.9 AutoScaling.10
Amazon EC2 Auto Scaling	`AWS::AutoScaling::LaunchConfiguration`	AutoScaling3. AutoScaling.5
EC2 Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance`	SSM.3
	`AWS::SSM::ManagedInstanceInventory`	SSM.1
	`AWS::SSM::PatchCompliance`	SSM.2
Amazon Elastic Container Registry (Amazon ECR)	`AWS::ECR::PublicRepository`	ECR. 4
Amazon Elastic Container Registry (Amazon ECR)	`AWS::ECR::Repository`	ECR.2 ECR.3
Amazon Elastic Container Service (Amazon ECS)	`AWS::ECS::Cluster`	ECS.12 SEK. 14
	`AWS::ECS::Service`	ECS.2 ECS.10 SEK. 13
	`AWS::ECS::TaskDefinition`	ECS.1 ECS.3 ECS.4 ECS.5 ECS.8 SEK. 9 SEK. 15
	`AWS::ECS::TaskSet`	SEK. 16
Amazon Elastic File System (Amazon EFS)	`AWS::EFS::AccessPoint`	EFS.3 EFS.4 EFS. 5
Amazon Elastic File System (Amazon EFS)	`AWS::EFS::FileSystem`	EFS 7 EFS. 8
Amazon Elastic Kubernetes Service (Amazon EKS)	`AWS::EKS::Cluster`	EKS.2 EKS.6 EKS.8
Amazon Elastic Kubernetes Service (Amazon EKS)	`AWS::EKS::IdentityProviderConfig`	EKS.7
AWS Elastic Beanstalk	`AWS::ElasticBeanstalk::Environment`	ElasticBeanstalk1. ElasticBeanstalk2. ElasticBeanstalk3.
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer`	ELB.2 ELB.3 ELB.5 ELB.7 ELB.8 ELB.9 ELB.10 ELB.14
Elastic Load Balancing	`AWS::ElasticLoadBalancingV2::LoadBalancer`	ELB.1 ELB.4 ELB.5 ELB.6 ELB.12 ELB.13 ELB. 16
ElasticSearch	`AWS::Elasticsearch::Domain`	ES.3 ES.4 ES.5 ES.6 ES.7 ES.8 ES.9
Amazon EMR	`AWS::EMR::SecurityConfiguration`	EMR. 3 EMR. 4
Amazon EventBridge	`AWS::Events::EventBus`	EventBridge2. EventBridge3.
Amazon EventBridge	`AWS::Events::Endpoint`	EventBridge4.
Amazon Fraud Detector	`AWS::FraudDetector::EntityType`	FraudDetector1.
	`AWS::FraudDetector::Label`	FraudDetector2.
	`AWS::FraudDetector::Outcome`	FraudDetector3.
	`AWS::FraudDetector::Variable`	FraudDetector4.
AWS Global Accelerator	`AWS::GlobalAccelerator::Accelerator`	GlobalAccelerator1.
AWS Glue	`AWS::Glue::Job`	Kleber.1
AWS Glue	`AWS::Glue::MLTransform`	Kleber.3
Amazon GuardDuty	`AWS::GuardDuty::Detector`	GuardDuty4.
	`AWS::GuardDuty::Filter`	GuardDuty2.
	`AWS::GuardDuty::IPSet`	GuardDuty3.
AWS Identity and Access Management (ICH BIN)	`AWS::IAM::Group`	ICH BIN 0,27 KMS.2
	`AWS::IAM::Policy`	IAM.1 IAM.21 KMS.1
	`AWS::IAM::Role`	ICH BIN 24 ICH BIN 27 KMS.2
	`AWS::IAM::User`	IAM.2 IAM.3 IAM.5 IAM.8 ICH BIN. 19 IAM.22 ICH BIN 25 ICH BIN 27 KMS.2
AWS Identity and Access Management Access Analyzer	`AWS::AccessAnalyzer::Analyzer`	ICH BIN 23
Amazon Interactive Video Service (Amazon IVS)	`AWS::IVS::PlaybackKeyPair`	IVS.1
	`AWS::IVS::RecordingConfiguration`	IVS.2
	`AWS::IVS::Channel`	IVS.3
AWS IoT	`AWS::IoT::Authorizer`	IoT.4
	`AWS::IoT::Dimension`	IoT.3
	`AWS::IoT::MitigationAction`	IoT.2
	`AWS::IoT::Policy`	IoT. 6
	`AWS::IoT::RoleAlias`	IoT.5
	`AWS::IoT::SecurityProfile`	IoT. 1
AWS IoT Events	`AWS::IoTEvents::AlarmModel`	IoT TEvents 3.
	`AWS::IoTEvents::DetectorModel`	Io TEvents 3,2
	`AWS::IoTEvents::Input`	Io TEvents 1.
AWS IoT Events	`AWS::IoTEvents::AlarmModel`	IoT TEvents 3.
	`AWS::IoTEvents::DetectorModel`	Io TEvents 3,2
	`AWS::IoTEvents::Input`	Io TEvents 1.
AWS IoT SiteWise	`AWS::IoTSiteWise::AssetModel`	Ich TSite weise. 1
	`AWS::IoTSiteWise::Dashboard`	Ich bin weise.2 TSite
	`AWS::IoTSiteWise::Gateway`	Ich bin weise.3 TSite
	`AWS::IoTSiteWise::Portal`	Ich bin weise.4 TSite
	`AWS::IoTSiteWise::Project`	Ich bin weise.5 TSite
AWS IoT TwinMaker	`AWS::IoTTwinMaker::Entity`	iOS TTwin Maker.4
	`AWS::IoTTwinMaker::Scene`	Ich bin Maker.3 TTwin
	`AWS::IoTTwinMaker::SyncJob`	Ich bin Maker.1 TTwin
	`AWS::IoTTwinMaker::Workspace`	Ich bin Maker.2 TTwin
AWS IoT Wireless	`AWS::IoTWireless::MulticastGroup`	IoT TWireless 1.
	`AWS::IoTWireless::ServiceProfile`	Io TWireless 1.2
	`AWS::IoTWireless::FuotaTask`	Io TWireless 3.
Amazon Keyspaces (für Apache Cassandra)	`AWS::Cassandra::Keyspace`	Tastenfelder.1
Amazon Kinesis	`AWS::Kinesis::Stream`	Kinesis.1 Kinese.2 Kinese.3
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias`	3.17
AWS Key Management Service (AWS KMS)	`AWS::KMS::Key`	KMS.3 KM. 5 S 3,17
AWS Lambda	`AWS::Lambda::Function`	Lambda.1 Lambda.2 Lambda.3 Lambda.5 Lambda.6
Amazon MSK	`AWS::MSK::Cluster`	MASKE. 1 MSK.2
Amazon MSK	`AWS::KafkaConnect::Connector`	MSK.3
Amazon MQ	`AWS::AmazonMQ::Broker`	MQ. 2 MQ. 3 MQ. 4 MQ.5 MQ.6
AWS Network Firewall	`AWS::NetworkFirewall::Firewall`	NetworkFirewall1. NetworkFirewall7. NetworkFirewall.9
	`AWS::NetworkFirewall::FirewallPolicy`	NetworkFirewall3. NetworkFirewall4. NetworkFirewall5. NetworkFirewall.8
	`AWS::NetworkFirewall::RuleGroup`	NetworkFirewall.6
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`	OpenSearch.1 OpenSearch.2 OpenSearch.3 OpenSearch.4 OpenSearch.5 OpenSearch.6 OpenSearch.7 OpenSearch.8 Suche öffnen.9 Öffne Suche.10 Öffne Suche.11
AWS Private CA	`AWS::ACMPCA::CertificateAuthority`	STK.2
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBCluster`	DocumentDB DB.1 DocumentDB DB.2 DocumentDB DB.4 DocumentDB DB.5 Neptun.1 Neptun.2 Neptun.4 Neptun.5 Neptun.7 Neptun.8 Neptun.9 RDS.7 RDS.12 RDS.14 RDS.15 RDS.16 RDS.24 RDS. 27 RDS. 28 RDS. 34 RDS.35 RDS. 37
	`AWS::RDS::DBClusterSnapshot`	DocumentDB DB.3 Neptun.3 Neptun.6 RDS.1 RDS.4 RDS. 29
	`AWS::RDS::DBInstance`	RDS.2 RDS.3 RDS.5 RDS.6 RDS.8 RDS.9 RDS.10 RDS.11 RDS.13 RDS.17 RDS.18 RDS.23 RDS.25 RDS.30 RDS. 36
	`AWS::RDS::DBSecurityGroup`	RDS. 31
	`AWS::RDS::DBSnapshot`	RDS.1 RDS.4 RDS.32
	`AWS::RDS::DBSubnetGroup`	RDS.33
	`AWS::RDS::EventSubscription`	RDS.19 RDS.20 RDS.21 RDS.22
Amazon Redshift	`AWS::Redshift::Cluster`	Redshift.1 Redshift.2 Redshift.3 Redshift.4 Redshift.6 Redshift.7 Redshift.8 Redshift.9 Redshift.10 Rotverschiebung.11
	`AWS::Redshift::ClusterParameterGroup`	Redshift.2
	`AWS::Redshift::ClusterSnapshot`	Rotverschiebung.13
	`AWS::Redshift::ClusterSubnetGroup`	Rotverschiebung.14 Rotverschiebung.16
	`AWS::Redshift::EventSubscription`	Rotverschiebung.12
Amazon Route 53	`AWS::Route53::HostedZone`	Route 53.2
Amazon Route 53	`AWS::Route53::HealthCheck`	Route 53.1
Amazon Simple Storage Service (Amazon-S3)	`AWS::S3::AccessPoint`	S3.19
	`AWS::S3::AccountPublicAccessBlock`	S3.2 S3.3
	`AWS::S3::Bucket`	S3.2 S3.3 S3.5 S3.6 S3,7 S3.8 S3.9 S3.10 S3.11 S3.12 S3.13 S3.14 S3,15 S3,17 S3,20
	`AWS::S3::MultiRegionAccessPoint`	S3,24
Amazon SageMaker KI	`AWS::SageMaker::NotebookInstance`	SageMaker2. SageMaker3.
Amazon SageMaker KI	`AWS::SageMaker::Model`	SageMaker5.
AWS Secrets Manager	`AWS::SecretsManager::Secret`	SecretsManager1. SecretsManager2. SecretsManager5.
AWS Service Catalog	`AWS::ServiceCatalog::Portfolio`	ServiceCatalog1.
Amazon Simple Email Service (Amazon SES)	`AWS::SES::ConfigurationSet`	SITZE.2
Amazon Simple Email Service (Amazon SES)	`AWS::SES::ContactList`	SESS.1
Amazon-Simple-Notification-Service (Amazon-SNS)	`AWS::SNS::Topic`	SNS.1 SNS.3 SNS.4
Amazon-Simple-Queue-Service (Amazon SQS)	`AWS::SQS::Queue`	SQS.1 SQS.2
AWS Step Functions	`AWS::StepFunctions::StateMachine`	StepFunctions1.
AWS Step Functions	`AWS::StepFunctions::Activity`	StepFunctions2.
AWS Transfer Family	`AWS::Transfer::Workflow`	Übertragung.1
AWS WAF	`AWS::WAF::Rule`	WAF.6
	`AWS::WAF::RuleGroup`	WAF.7
	`AWS::WAF::WebACL`	WAF.1 WAF.8
	`AWS::WAFRegional::Rule`	WAF.2
	`AWS::WAFRegional::RuleGroup`	WAF.3
	`AWS::WAFRegional::WebACL`	WAF.4
	`AWS::WAFv2::RuleGroup`	WAF.12
	`AWS::WAFv2::WebACL`	WAF.10 WAF.11
Amazon WorkSpaces	`AWS::WorkSpaces::WorkSpace`	WorkSpaces1. WorkSpaces2.

Erforderliche Ressourcen für den FSBP-Standard

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste Kontrollen AWS von Foundation Security Best Practices v1.0.0 (FSBP), die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in aufzeichnen. AWS Config Weitere Informationen zu diesem Standard finden Sie unter. AWS Standard für grundlegende bewährte Sicherheitsverfahren v1.0.0 (FSBP)

Service	Erforderliche -Ressourcen
Amazon API Gateway	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS AppSync	`AWS::AppSync::ApiCache` `AWS::AppSync::GraphQLApi`
AWS Backup	`AWS::Backup::RecoveryPoint`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
AWS CodeBuild	`AWS::CodeBuild::Project` `AWS::CodeBuild::ReportGroup`
Amazon Cognito	`AWS::Cognito::UserPool`
AWS DataSync	`AWS::DataSync::Task`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Endpoint` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationTask`
Amazon-DynamoDB	`AWS::DynamoDB::Table`
EC2 Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint` `AWS::EC2::Instance` `AWS::EC2::LaunchTemplate` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::VPCBlockPublicAccessOptions` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (Amazon ECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (Amazon ECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition` `AWS::ECS::TaskSet`
Amazon Elastic File System (Amazon EFS)	`AWS::EFS::AccessPoint` `AWS::EFS::FileSystem`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EMR	`AWS::EMR::SecurityConfiguration`
AWS Glue	`AWS::Glue::Job` `AWS::Glue::MLTransform`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Key`
AWS Lambda	`AWS::Lambda::Function`
Amazon MSK	`AWS::MSK::Cluster` `AWS::KafkaConnect::Connector`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster` `AWS::Redshift::ClusterSubnetGroup`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon Simple Storage Service (Amazon-S3)	`AWS::S3::AccessPoint` `AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket` `AWS::S3::MultiRegionAccessPoint`
Amazon SageMaker KI	`AWS::SageMaker::Model` `AWS::SageMaker::NotebookInstance`
Amazon-Simple-Notification-Service (Amazon-SNS)	`AWS::SNS::Topic`
Amazon-Simple-Queue-Service (Amazon SQS)	`AWS::SQS::Queue`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS Step Functions	`AWS::StepFunctions::StateMachine`
AWS WAF	`AWS::WAF::Rule` `AWS::WAF::RuleGroup` `AWS::WAF::WebACL` `AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::RuleGroup` `AWS::WAFv2::WebACL`
Amazon WorkSpaces	`AWS::WorkSpaces::WorkSpace`

Erforderliche Ressourcen für CIS AWS Foundations Benchmark

Um Sicherheitsüberprüfungen für aktivierte Kontrollen durchzuführen, die für den Benchmark der Center for Internet Security (CIS) AWS Foundations gelten, führt Security Hub entweder genau die Prüfschritte durch, die für die Prüfungen in Securing Amazon Web Services vorgeschrieben sind, oder verwendet spezifische AWS Config verwaltete Regeln.

Weitere Informationen zu diesem Standard finden Sie unterCIS AWS Foundations Benchmark.

Erforderliche Ressourcen für CIS v3.0.0

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v3.0.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in aufzeichnen. AWS Config

Service	Erforderliche -Ressourcen
Amazon Elastic Compute Cloud (Amazon EC2)	`AWS::EC2::Instance` `AWS::EC2::NetworkAcl` `AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::User` `AWS::IAM::Role`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBInstance`
Amazon Simple Storage Service (Amazon-S3)	`AWS::S3::Bucket`

Erforderliche Ressourcen für CIS v1.4.0

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v1.4.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in AWS Config aufzeichnen.

Service	Erforderliche -Ressourcen
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::NetworkAcl` `AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBInstance`
Amazon Simple Storage Service (Amazon-S3)	`AWS::S3::Bucket`

Erforderliche Ressourcen für CIS v1.2.0

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v1.2.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in AWS Config aufzeichnen.

Service Erforderliche -Ressourcen

Service	Erforderliche -Ressourcen
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::SecurityGroup

AWS Identity and Access Management (IAM)

AWS::IAM::Policy

AWS::IAM::User

Erforderliche Ressourcen für NIST SP 800-53 Rev. 5

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste Kontrollen SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST), die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in aufzeichnen. AWS ConfigSie müssen nur Ressourcen für Kontrollen aufzeichnen, bei denen eine Änderung nach einem Zeitplan ausgelöst wurde. Weitere Informationen zu diesem Standard finden Sie unterNIST SP 800-53 Rev. 5 im Security Hub.

Service	Erforderliche -Ressourcen
Amazon API Gateway	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS AppSync	`AWS::AppSync::GraphQLApi`
AWS Backup	`AWS::Backup::RecoveryPoint`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
Amazon CloudWatch	`AWS::CloudWatch::Alarm`
AWS CodeBuild	`AWS::CodeBuild::Project`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Endpoint` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationTask`
Amazon-DynamoDB	`AWS::DynamoDB::Table`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint` `AWS::EC2::EIP` `AWS::EC2::Instance` `AWS::EC2::LaunchTemplate` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (Amazon ECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (Amazon ECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (Amazon EFS)	`AWS::EFS::AccessPoint`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EMR	`AWS::EMR::SecurityConfiguration`
Amazon EventBridge	`AWS::Events::Endpoint` `AWS::Events::EventBus`
AWS Identity and Access Management (ICH BIN)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias` `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
Amazon MSK	`AWS::MSK::Cluster`
Amazon MQ	`AWS::AmazonMQ::Broker`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster` `AWS::Redshift::ClusterSubnetGroup`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon Simple Storage Service (Amazon-S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::AccessPoint` `AWS::S3::Bucket`
AWS Service Catalog	`AWS::ServiceCatalog::Portfolio`
Amazon-Simple-Notification-Service (Amazon-SNS)	`AWS::SNS::Topic`
Amazon-Simple-Queue-Service (Amazon SQS)	`AWS::SQS::Queue`
EC2 Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
Amazon SageMaker KI	`AWS::SageMaker::NotebookInstance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS WAF	`AWS::WAF::Rule` `AWS::WAF::RuleGroup` `AWS::WAF::WebACL` `AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::RuleGroup` `AWS::WAFv2::WebACL`

Erforderliche Ressourcen für PCI DSS v3.2.1

Damit Security Hub die Ergebnisse für aktivierte Kontrollen des Payment Card Industry Data Security Standard (PCI DSS), die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in AWS Config aufzeichnen. Weitere Informationen zu diesem Standard finden Sie unterPCI DSS im Security Hub.

Service	Erforderliche -Ressourcen
AWS CodeBuild	`AWS::CodeBuild::Project`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::EIP` `AWS::EC2::Instance` `AWS::EC2::SecurityGroup`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`
AWS Lambda	`AWS::Lambda::Function`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot`
Amazon Redshift	`AWS::Redshift::Cluster`
Amazon Simple Storage Service (Amazon-S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket`
EC2 Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`

Erforderliche Ressourcen für AWS Resource Tagging Standard

Alle Steuerelemente im AWS Resource Tagging Standard werden durch Änderungen ausgelöst und verwenden eine AWS Config Regel. Damit Security Hub die Ergebnisse dieser Kontrollen korrekt melden kann, müssen Sie die folgenden Ressourcen in aufzeichnen AWS Config. Weitere Informationen zu diesem Standard finden Sie unterAWS Standard für die Kennzeichnung von Ressourcen.

Service	Erforderliche -Ressourcen
AWS AppConfig	`AWS::AppConfig::Application` `AWS::AppConfig::ConfigurationProfile` `AWS::AppConfig::Environment` `AWS::AppConfig::ExtensionAssociation`
Amazon AppFlow	`AWS::AppFlow::Flow`
AWS App Runner	`AWS::AppRunner::Service` `AWS::AppRunner::VpcConnector`
AWS AppSync	`AWS::AppSync::GraphQLApi`
Amazon Athena	`AWS::Athena::DataCatalog` `AWS::Athena::WorkGroup`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS Backup (AWS Backup)	`AWS::Backup::BackupPlan` `AWS::Backup::BackupVault` `AWS::Backup::RecoveryPlan` `AWS::Backup::ReportPlan`
AWS Batch	`AWS::Batch::ComputeEnvironment` `AWS::Batch::JobQueue` `AWS::Batch::SchedulingPolicy`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
AWS CloudTrail	`AWS::CloudTrail::Trail`
AWS CodeArtifact	`AWS::CodeArtifact::Repository`
Amazon CodeGuru	`AWS::CodeGuruProfiler::ProfilingGroup` `AWS::CodeGuruReviewer::RepositoryAssociation`
Amazon Connect	`AWS::CustomerProfiles::ObjectType`
Amazon Detective	`AWS::Detective::Graph`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Certificate` `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationSubnetGroup`
Amazon-DynamoDB	`AWS::DynamoDB::Trail`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::CustomerGateway` `AWS::EC2::EIP` `AWS::EC2::FlowLog` `AWS::EC2::Instance` `AWS::EC2::InternetGateway` `AWS::EC2::NatGateway` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::RouteTable` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::TransitGatewayAttachment` `AWS::EC2::TransitGatewayRouteTable` `AWS::EC2::Volume` `AWS::EC2::VPC` `AWS::EC2::VPCEndpointService` `AWS::EC2::VPCPeeringConnection` `AWS::EC2::VPNGateway`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`
Amazon Elastic Container Registry (Amazon ECR)	`AWS::ECR::PublicRepository`
Amazon Elastic Container Service (Amazon ECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (Amazon EFS)	`AWS::EFS::AccessPoint`
Amazon Elastic Kubernetes Service (Amazon EKS)	`AWS::EKS::Cluster` `AWS::EKS::IdentityProviderConfig`
AWS Elastic Beanstalk (Elastic Beanstalk)	`AWS::ElasticBeanstalk::Environment`
ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EventBridge	`AWS::Events::EventBus`
Amazon Fraud Detector	`AWS::FraudDetector::EntityType` `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome` `AWS::FraudDetector::Variable`
AWS Global Accelerator	`AWS::GlobalAccelerator::Accelerator`
AWS Glue	`AWS::Glue::Job`
Amazon GuardDuty	`AWS::GuardDuty::Detector` `AWS::GuardDuty::Filter` `AWS::GuardDuty::IPSet`
AWS Identity and Access Management (ICH BIN)	`AWS::IAM::Role` `AWS::IAM::User`
AWS Identity and Access Management Access Analyzer (IAM-Zugriffsanalysator)	`AWS::AccessAnalyzer::Analyzer`
AWS IoT	`AWS::IoT::Authorizer` `AWS::IoT::Dimension` `AWS::IoT::MitigationAction` `AWS::IoT::Policy` `AWS::IoT::RoleAlias` `AWS::IoT::SecurityProfile`
AWS IoT Events	`AWS::IoTEvents::AlarmModel` `AWS::IoTEvents::DetectorModel` `AWS::IoTEvents::Input`
AWS IoT SiteWise	`AWS::IoTSiteWise::Dashboard` `AWS::IoTSiteWise::Gateway` `AWS::IoTSiteWise::Portal` `AWS::IoTSiteWise::Project`
AWS IoT TwinMaker	`AWS::IoTTwinMaker::Entity` `AWS::IoTTwinMaker::Scene` `AWS::IoTTwinMaker::SyncJob` `AWS::IoTTwinMaker::Workspace`
AWS IoT Drahtlos	`AWS::IoTWireless::FuotaTask` `AWS::IoTWireless::MulticastGroup` `AWS::IoTWireless::ServiceProfile`
Amazon Interactive Video Service (Amazon IVS)	`AWS::IVS::Channel` `AWS::IVS::PlaybackKeyPair` `AWS::IVS::RecordingConfiguration`
Amazon Keyspaces (für Apache Cassandra)	`AWS::Cassandra::Keyspace`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
Amazon MQ	`AWS::AmazonMQ::Broker`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
AWS Private Certificate Authority	`AWS::ACMPCA::CertificateAuthority`
Amazon Relational Database Service	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSecurityGroup` `AWS::RDS::DBSnapshot` `AWS::RDS::DBSubnetGroup`
Amazon Redshift	`AWS::Redshift::Cluster` `AWS::Redshift::ClusterSnapshot` `AWS::Redshift::ClusterSubnetGroup` `AWS::Redshift::EventSubscription`
Amazon Route 53	`AWS::Route53::HealthCheck`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
Amazon Simple Email Service (Amazon SES)	`AWS::SES::ConfigurationSet` `AWS::SES::ContactList`
Amazon Simple Notification Service (Amazon SNS)	`AWS::SNS::Topic`
Amazon-Simple-Queue-Service (Amazon SQS)	`AWS::SQS::Queue`
AWS Step Functions	`AWS::StepFunctions::Activity`
AWS Transfer Family	`AWS::Transfer::Workflow`

Erforderliche Ressourcen für Service-Managed Standard: AWS Control Tower

Damit Security Hub die Ergebnisse für aktivierte Service-Managed Standard: AWS Control Tower Change Triggered Controls, die eine AWS Config Regel verwenden, korrekt meldet, müssen Sie die folgenden Ressourcen in AWS Config aufzeichnen. Weitere Informationen zu diesem Standard finden Sie unterVom Service verwalteter Standard: AWS Control Tower.

Service	Erforderliche -Ressourcen
Amazon API Gateway	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CodeBuild	`AWS::CodeBuild::Project`
Amazon-DynamoDB	`AWS::DynamoDB::Table`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::Instance` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (Amazon ECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (Amazon ECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (Amazon EFS)	`AWS::EFS::AccessPoint`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias` `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
AWS Network Firewall	`AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster`
Amazon Simple Storage Service (Amazon-S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket`
Amazon-Simple-Notification-Service (Amazon-SNS)	`AWS::SNS::Topic`
Amazon-Simple-Queue-Service (Amazon SQS)	`AWS::SQS::Queue`
EC2 Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS WAF	`AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::WebACL`

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Sicherheitsüberprüfungen und Ergebnisse

Zeitplan für die Ausführung von Sicherheitsprüfungen