Erforderliche Ressourcen für alle Security Hub-Steuerelemente Erforderliche Ressourcen für den FSBP Standard Erforderliche Ressourcen für CIS AWS Foundations Benchmark Erforderliche Ressourcen für NIST SP 800-53 Rev. 5 Erforderliche Ressourcen für PCI DSS v3.2.1 Erforderliche Ressourcen für AWS Resource Tagging Standard Erforderliche Ressourcen für Service-Managed Standard: AWS Control Tower

Erforderliche AWS Config Ressourcen für die Ergebnisse der Security Hub Hub-Kontrolle

AWS Security Hub generiert Kontrollergebnisse, indem Sicherheitsüberprüfungen anhand von Kontrollen durchgeführt werden. Bei einigen Kontrollen werden AWS Config Regeln verwendet, anhand derer die Einhaltung bestimmter Ressourcen bewertet wird. Damit Security Hub Ergebnisse für Kontrollen generieren kann, für die der Zeitplantyp „Änderung ausgelöst“ gilt, müssen Sie die Aufzeichnung für benötigte Ressourcen in aktivieren AWS Config. Für die meisten Kontrollen, die einen periodischen Zeitplan haben, müssen Sie keine Ressourcen aufzeichnen. Bei einigen regelmäßigen Kontrollen ist jedoch eine Erfassung von Ressourcen erforderlich, um Änderungen bei der Einhaltung von Vorschriften zu erkennen.

Auf dieser Seite finden Sie eine Liste der erforderlichen Ressourcen für alle Standards sowie eine nach Standards unterteilte Liste der erforderlichen Ressourcen. In der ersten Tabelle ist auch aufgeführt, welche Security Hub-Steuerelemente die einzelnen Ressourcen verwenden.

Wenn ein Ergebnis durch eine Sicherheitsüberprüfung generiert wird, die auf einer AWS Config Regel basiert, enthalten die Ergebnisdetails einen Link „Regeln“ zu der zugehörigen AWS Config Regel. Um zu der AWS Config Regel zu gelangen, muss Ihr Konto über die Berechtigung AWS Identity and Access Management (IAM) zum Anzeigen von AWS Config Regeln verfügen.

Anmerkung

AWS-Regionen Wenn ein Steuerelement nicht verfügbar ist, ist die entsprechende Ressource in nicht verfügbar AWS Config. Eine Liste der regionalen Beschränkungen für Security Hub-Steuerungen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

Erforderliche Ressourcen für alle Security Hub-Steuerelemente

Damit Security Hub Ergebnisse für aktivierte, von Security Hub Hub-Änderungen ausgelöste Kontrollen generiert, die eine AWS Config Regel verwenden, müssen Sie diese Ressourcen in aufzeichnen AWS Config. In dieser Tabelle ist auch angegeben, für welche Kontrollen eine bestimmte Ressource erforderlich ist. Ein Steuerelement benötigt möglicherweise mehr als eine Ressource.

Service	Erforderliche Ressource	Verwandte Steuerungen
APIAmazon-Gateway	`AWS::ApiGateway::Stage`	APIGateway1. APIGateway.2 APIGateway.3 APIGateway.4 APIGateway.5
APIAmazon-Gateway	`AWS::ApiGatewayV2::Stage`	APIGateway1. APIGateway.9
AWS AppSync	`AWS::AppSync::GraphQLApi`	AppSync.2 AppSync.4 AppSync.5
AWS Backup (AWS Backup)	`AWS::Backup::BackupPlan`	Sicherung.5
	`AWS::Backup::BackupVault`	Sicherung.3
	`AWS::Backup::RecoveryPoint`	Sicherung.1 Sicherung.2
	`AWS::Backup::ReportPlan`	Sicherung.4
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`	ACM1. ACM.2 ACM.3
Amazon Athena	`AWS::Athena::DataCatalog`	Athena.2
Amazon Athena	`AWS::Athena::WorkGroup`	Athena.3 Athena.4
AWS CloudFormation	`AWS::CloudFormation::Stack`	CloudFormation2.
Amazon CloudFront	`AWS::CloudFront::Distribution`	CloudFront1. CloudFront.3 CloudFront.4 CloudFront.5 CloudFront.6 CloudFront.7 CloudFront.8 CloudFront.9 CloudFront.10 CloudFront.13 CloudFront.14
AWS CloudTrail	`AWS::CloudTrail::Trail`	CloudTrail.9
Amazon CloudWatch	`AWS::CloudWatch::Alarm`	CloudWatch.15 CloudWatch.17
AWS CodeArtifact	`AWS::CodeArtifact::Repository`	CodeArtifact1.
AWS CodeBuild	`AWS::CodeBuild::Project`	CodeBuild.1 CodeBuild.2 CodeBuild.3 CodeBuild.4
AWS CodeBuild	`AWS::CodeBuild::ReportGroup`	CodeBuild.7
AWS DataSync	`AWS::DataSync::Task`	DataSync1.
Amazon Detective	`AWS::Detective::Graph`	Detektiv.1
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Certificate`	DMS2.2
	`AWS::DMS::Endpoint`	`DMS.9` `DMS.10` `DMS.11` `DMS.12`
	`AWS::DMS::EventSubscription`	DMS.3
	`AWS::DMS::ReplicationInstance`	DMS.4 DMS.6
	`AWS::DMS::ReplicationSubnetGroup`	DMS.5
	`AWS::DMS::ReplicationTask`	DMS.7 DMS.8
Amazon-DynamoDB	`AWS::DynamoDB::Table`	DynamoDB.1 DynamoDB.2 Dynamo DB.5 Dynamo DB,6
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint`	EC25.1
	`AWS::EC2::CustomerGateway`	EC25,6
	`AWS::EC2::EIP`	EC2.12 EC2.37
	`AWS::EC2::FlowLog`	EC24,8
	`AWS::EC2::Instance`	EC2.4 EC2.8 EC2.9 EC2.17 EC2.24 EC23,8 EMR1. SSM.1
	`AWS::EC2::InternetGateway`	EC2.39
	`AWS::EC2::LaunchTemplate`	EC2.25
	`AWS::EC2::NatGateway`	EC24,0
	`AWS::EC2::NetworkAcl`	EC2.16 EC2.21 EC2.41
	`AWS::EC2::NetworkInterface`	EC2.22 EC2.35
	`AWS::EC2::RouteTable`	EC24,2
	`AWS::EC2::SecurityGroup`	EC2.2 EC2.13 EC2.14 EC2.18 EC2.19 EC24,3
	`AWS::EC2::Subnet`	EC2.15 EC24,4 ElastiCache.7
	`AWS::EC2::TransitGateway`	EC22,3 EC25,2
	`AWS::EC2::TransitGatewayAttachment`	EC2.33
	`AWS::EC2::TransitGatewayRouteTable`	EC2.34
	`AWS::EC2::Volume`	EC23. EC24,5
	`AWS::EC2::VPC`	EC2.6 EC24,6
	`AWS::EC2::VPCEndpointService`	EC24,7
	`AWS::EC2::VPCPeeringConnection`	EC24,9
	`AWS::EC2::VPNConnection`	EC2.20
	`AWS::EC2::VPNGateway`	EC25,0
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`	AutoScaling1. AutoScaling.2 AutoScaling.6 AutoScaling.9 AutoScaling.10
Amazon EC2 Auto Scaling	`AWS::AutoScaling::LaunchConfiguration`	AutoScaling3. AutoScaling.5
EC2Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance`	SSM3.
	`AWS::SSM::ManagedInstanceInventory`	SSM1.
	`AWS::SSM::PatchCompliance`	SSM.2
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::PublicRepository`	ECR4.
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`	ECR.2 ECR.3
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster`	ECS1.2 ECS.14
	`AWS::ECS::Service`	ECS.2 ECS.10 ECS.13
	`AWS::ECS::TaskDefinition`	ECS1. ECS.3 ECS.4 ECS.5 ECS.8 ECS.9 ECS.15
	`AWS::ECS::TaskSet`	ECS.16
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`	EFS3. EFS.4 EFS.5
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::FileSystem`	EFS.7
Amazon Elastic Kubernetes Service (Amazon) EKS	`AWS::EKS::Cluster`	EKS2.2 EKS.6 EKS.8
Amazon Elastic Kubernetes Service (Amazon) EKS	`AWS::EKS::IdentityProviderConfig`	EKS.7
AWS Elastic Beanstalk	`AWS::ElasticBeanstalk::Environment`	ElasticBeanstalk1. ElasticBeanstalk.2 ElasticBeanstalk.3
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer`	ELB.2 ELB.3 ELB5. ELB.7 ELB.8 ELB.9 ELB.10 ELB.14
Elastic Load Balancing	`AWS::ElasticLoadBalancingV2::LoadBalancer`	ELB1. ELB.4 ELB.5 ELB.6 ELB.12 ELB.13 ELB.16
ElasticSearch	`AWS::Elasticsearch::Domain`	ES.3 ES.4 ES.5 ES.6 ES.7 ES.8 ES.9
Amazon EventBridge	`AWS::Events::EventBus`	EventBridge2. EventBridge.3
Amazon EventBridge	`AWS::Events::Endpoint`	EventBridge.4
`AWS Global Accelerator`	`AWS::GlobalAccelerator::Accelerator`	GlobalAccelerator1.
`AWS Glue`	`AWS::Glue::Job`	Kleber.1 Kleber.2
`AWS Glue`	`AWS::Glue::MLTransform`	Kleber.3
`Amazon GuardDuty`	`AWS::GuardDuty::Detector`	GuardDuty.4
	`AWS::GuardDuty::Filter`	GuardDuty.2
	`AWS::GuardDuty::IPSet`	GuardDuty.3
AWS Identity and Access Management (IAM)	`AWS::IAM::Group`	IAM2,7 KMS.2
	`AWS::IAM::Policy`	IAM.1 IAM.21 KMS1.
	`AWS::IAM::Role`	IAM2,4 IAM2,7 KMS.2
	`AWS::IAM::User`	IAM.2 IAM.3 IAM5. IAM.8 IAM.19 IAM.22 IAM.25 IAM2,7 KMS.2
AWS Identity and Access Management Access Analyzer	`AWS::AccessAnalyzer::Analyzer`	IAM2,3
AWS IoT	`AWS::IoT::Authorizer`	IoT.4
	`AWS::IoT::Dimension`	IoT.3
	`AWS::IoT::MitigationAction`	IoT.2
	`AWS::IoT::Policy`	IoT. 6
	`AWS::IoT::RoleAlias`	IoT.5
	`AWS::IoT::SecurityProfile`	IoT.1
Amazon Kinesis	`AWS::Kinesis::Stream`	Kinesis.1 Kinese.2 Kinese.3
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias`	S3.17
AWS Key Management Service (AWS KMS)	`AWS::KMS::Key`	KMS3. 3,17
AWS Lambda	`AWS::Lambda::Function`	Lambda.1 Lambda.2 Lambda.3 Lambda.5 Lambda.6
Amazon MSK	`AWS::MSK::Cluster`	MSK1. MSK.2
Amazon MSK	`AWS::KafkaConnect::Connector`	MSK.3
Amazon MQ	`AWS::AmazonMQ::Broker`	MQ. 2 MQ. 3 MQ. 4 MQ.5 MQ.6
AWS Network Firewall	`AWS::NetworkFirewall::Firewall`	NetworkFirewall1. NetworkFirewall.7 NetworkFirewall.9
	`AWS::NetworkFirewall::FirewallPolicy`	NetworkFirewall3. NetworkFirewall.4 NetworkFirewall.5 NetworkFirewall.8
	`AWS::NetworkFirewall::RuleGroup`	NetworkFirewall.6
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`	OpenSearch.1 OpenSearch.2 OpenSearch.3 OpenSearch.4 OpenSearch.5 OpenSearch.6 OpenSearch.7 OpenSearch.8 Suche öffnen.9 Öffne Suche.10 Öffne Suche.11
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster`	DocumentDB DB.1 DocumentDB DB.2 DocumentDB DB.4 DocumentDB DB.5 Neptun.1 Neptun.2 Neptun.4 Neptun.5 Neptun.7 Neptun.8 Neptun.9 RDS7. RDS.12 RDS.14 RDS.15 RDS.16 RDS2,4 RDS2,7 RDS.28 RDS.34 RDS.35 RDS.37
	`AWS::RDS::DBClusterSnapshot`	DocumentDB DB.3 Neptun.3 Neptun.6 RDS1. RDS.4 RDS2,9
	`AWS::RDS::DBInstance`	RDS.2 RDS.3 RDS5. RDS.6 RDS.8 RDS.9 RDS.10 RDS.11 RDS.13 RDS.17 RDS.18 RDS2,3 RDS2,5 RDS.30 RDS3,6
	`AWS::RDS::DBSecurityGroup`	RDS3,1
	`AWS::RDS::DBSnapshot`	RDS1. RDS.4 RDS3,2
	`AWS::RDS::DBSubnetGroup`	RDS.33
	`AWS::RDS::EventSubscription`	RDS.19 RDS.20 RDS.21 RDS.22
Amazon-Redshift	`AWS::Redshift::Cluster`	Redshift.1 Redshift.2 Redshift.3 Redshift.4 Redshift.6 Redshift.7 Redshift.8 Redshift.9 Redshift.10 Rotverschiebung.11
	`AWS::Redshift::ClusterParameterGroup`	Redshift.2
	`AWS::Redshift::ClusterSnapshot`	Rotverschiebung.13
	`AWS::Redshift::ClusterSubnetGroup`	Rotverschiebung.14
	`AWS::Redshift::EventSubscription`	Rotverschiebung.12
Amazon Route 53	`AWS::Route53::HostedZone`	Route 53.2
Amazon Route 53	`AWS::Route53::HealthCheck`	Route 53.1
Amazon-Simple-Storage-Service (Amazon-S3)	`AWS::S3::AccessPoint`	S3.19
	`AWS::S3::AccountPublicAccessBlock`	S3.2 S3.3
	`AWS::S3::Bucket`	S3.2 S3.3 S3.5 S3.6 S3,7 S3.8 S3.9 S3.10 S3.11 S3.12 S3.13 S3.14 S3,15 S3,17 S3,20
	`AWS::S3::MultiRegionAccessPoint`	S3,24
AWS Secrets Manager	`AWS::SecretsManager::Secret`	SecretsManager1. SecretsManager.2 SecretsManager5.
AWS Service Catalog	`AWS::ServiceCatalog::Portfolio`	ServiceCatalog1.
Amazon Simple Email Service (AmazonSES)	`AWS::SES::ConfigurationSet`	SES2.
Amazon Simple Email Service (AmazonSES)	`AWS::SES::ContactList`	SES.1
Amazon Simple Notification Service (AmazonSNS)	`AWS::SNS::Topic`	SNS1. SNS.3
Amazon Simple Queue Service (AmazonSQS)	`AWS::SQS::Queue`	SQS1. SQS.2
Amazon SageMaker	`AWS::SageMaker::NotebookInstance`	SageMaker2. SageMaker.3
AWS Step Functions	`AWS::StepFunctions::StateMachine`	StepFunctions1.
AWS Step Functions	`AWS::StepFunctions::Activity`	StepFunctions.2
AWS Transfer Family	`AWS::Transfer::Workflow`	Übertragung.1
AWS WAF	`AWS::WAF::Rule`	WAF6.
	`AWS::WAF::RuleGroup`	WAF.7
	`AWS::WAF::WebACL`	WAF1. WAF.8
	`AWS::WAFRegional::Rule`	WAF.2
	`AWS::WAFRegional::RuleGroup`	WAF.3
	`AWS::WAFRegional::WebACL`	WAF.4
	`AWS::WAFv2::RuleGroup`	WAF.12
	`AWS::WAFv2::WebACL`	WAF.10 WAF.11
Amazon WorkSpaces	`AWS::WorkSpaces::WorkSpace`	WorkSpaces1. WorkSpaces.2

Erforderliche Ressourcen für den FSBP Standard

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste Kontrollen von AWS Foundational Security Best Practices v1.0.0 (FSBP), die eine AWS Config Regel verwenden, korrekt meldet, müssen Sie diese Ressourcen in aufzeichnen. AWS Config Weitere Informationen zu diesem Standard finden Sie unter. AWS Grundlegende bewährte Sicherheitsmethoden v1.0.0 (), Standard FSBP

Service	Erforderliche -Ressourcen
APIAmazon-Gateway	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS AppSync	`AWS::AppSync::GraphQLApi`
AWS Backup	`AWS::Backup::RecoveryPoint`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
AWS CodeBuild	`AWS::CodeBuild::Project` `AWS::CodeBuild::ReportGroup`
AWS DataSync	`AWS::DataSync::Task`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Endpoint` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationTask`
Amazon-DynamoDB	`AWS::DynamoDB::Table`
EC2Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint` `AWS::EC2::Instance` `AWS::EC2::LaunchTemplate` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition` `AWS::ECS::TaskSet`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint` `AWS::EFS::FileSystem`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
AWS Glue	`AWS::Glue::Job` `AWS::Glue::MLTransform`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Key`
AWS Lambda	`AWS::Lambda::Function`
Amazon MSK	`AWS::MSK::Cluster` `AWS::KafkaConnect::Connector`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon-Redshift	`AWS::Redshift::Cluster`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon-Simple-Storage-Service (Amazon-S3)	`AWS::S3::AccessPoint` `AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket` `AWS::S3::MultiRegionAccessPoint`
Amazon Simple Notification Service (AmazonSNS)	`AWS::SNS::Topic`
Amazon Simple Queue Service (AmazonSQS)	`AWS::SQS::Queue`
Amazon SageMaker	`AWS::SageMaker::NotebookInstance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS Step Functions	`AWS::StepFunctions::StateMachine`
AWS WAF	`AWS::WAF::Rule` `AWS::WAF::RuleGroup` `AWS::WAF::WebACL` `AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::RuleGroup` `AWS::WAFv2::WebACL`
Amazon WorkSpaces	`AWS::WorkSpaces::WorkSpace`

Erforderliche Ressourcen für CIS AWS Foundations Benchmark

Um Sicherheitsüberprüfungen für aktivierte Kontrollen durchzuführen, die für den Center for Internet Security (CIS) AWS Foundations Benchmark gelten, führt Security Hub entweder genau die Prüfschritte durch, die für die Prüfungen in Securing Amazon Web Services vorgeschrieben sind, oder verwendet spezifische AWS Config verwaltete Regeln.

Weitere Informationen zu diesem Standard finden Sie unterCIS AWS Maßstab für Stiftungen.

Erforderliche Ressourcen für CIS v3.0.0

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste Steuerelemente in CIS Version 3.0.0, die eine AWS Config Regel verwenden, korrekt meldet, müssen Sie diese Ressourcen in aufzeichnen. AWS Config

Service	Erforderliche -Ressourcen
Amazon Elastic Compute Cloud (AmazonEC2)	`AWS::EC2::Instance` `AWS::EC2::NetworkAcl` `AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::User` `AWS::IAM::Role`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBInstance`
Amazon-Simple-Storage-Service (Amazon-S3)	`AWS::S3::Bucket`

Erforderliche Ressourcen für v1.4.0 CIS

Damit Security Hub Ergebnisse für aktivierte, durch Änderungen ausgelöste Steuerelemente in CIS Version 1.4.0, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in AWS Config aufzeichnen.

Service	Erforderliche -Ressourcen
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::NetworkAcl` `AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBInstance`
Amazon-Simple-Storage-Service (Amazon-S3)	`AWS::S3::Bucket`

Erforderliche Ressourcen für v1.2.0 CIS

Damit Security Hub Ergebnisse für aktivierte, durch Änderungen ausgelöste Steuerelemente in CIS Version 1.2.0, die eine AWS Config Regel verwenden, korrekt meldet, müssen Sie diese Ressourcen in AWS Config aufzeichnen.

Service Erforderliche -Ressourcen

Service	Erforderliche -Ressourcen
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::SecurityGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`

Amazon Elastic Compute Cloud (EC2)

AWS::EC2::SecurityGroup

AWS Identity and Access Management (IAM)

AWS::IAM::Policy

AWS::IAM::User

Erforderliche Ressourcen für NIST SP 800-53 Rev. 5

Damit Security Hub die Ergebnisse für aktivierte, durch Änderungen ausgelöste Steuerelemente des National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in aufzeichnen. AWS Config Sie müssen nur Ressourcen für Kontrollen aufzeichnen, bei denen eine Änderung nach einem Zeitplan ausgelöst wurde. Weitere Informationen zu diesem Standard finden Sie unterNISTSP 800-53 Rev. 5 im Security Hub.

Service	Erforderliche -Ressourcen
APIAmazon-Gateway	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS AppSync	`AWS::AppSync::GraphQLApi`
AWS Backup	`AWS::Backup::RecoveryPoint`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
Amazon CloudWatch	`AWS::CloudWatch::Alarm`
AWS CodeBuild	`AWS::CodeBuild::Project`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Endpoint` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationTask`
Amazon-DynamoDB	`AWS::DynamoDB::Table`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::ClientVpnEndpoint` `AWS::EC2::EIP` `AWS::EC2::Instance` `AWS::EC2::LaunchTemplate` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EventBridge	`AWS::Events::Endpoint` `AWS::Events::EventBus`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias` `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
Amazon MSK	`AWS::MSK::Cluster`
Amazon MQ	`AWS::AmazonMQ::Broker`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon-Redshift	`AWS::Redshift::Cluster`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon-Simple-Storage-Service (Amazon-S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::AccessPoint` `AWS::S3::Bucket`
AWS Service Catalog	`AWS::ServiceCatalog::Portfolio`
Amazon Simple Notification Service (AmazonSNS)	`AWS::SNS::Topic`
Amazon Simple Queue Service (AmazonSQS)	`AWS::SQS::Queue`
EC2Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
Amazon SageMaker	`AWS::SageMaker::NotebookInstance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS WAF	`AWS::WAF::Rule` `AWS::WAF::RuleGroup` `AWS::WAF::WebACL` `AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::RuleGroup` `AWS::WAFv2::WebACL`

Erforderliche Ressourcen für PCI DSS v3.2.1

Damit Security Hub die Ergebnisse für aktivierte Kontrollen des Payment Card Industry Data Security Standard (PCIDSS), die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie diese Ressourcen in aufzeichnen AWS Config. Weitere Informationen zu diesem Standard finden Sie unterPCIDSSv3.2.1 im Security Hub.

Service	Erforderliche -Ressourcen
AWS CodeBuild	`AWS::CodeBuild::Project`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::EIP` `AWS::EC2::Instance` `AWS::EC2::SecurityGroup`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`
AWS Identity and Access Management (IAM)	`AWS::IAM::Policy` `AWS::IAM::User`
AWS Lambda	`AWS::Lambda::Function`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot`
Amazon-Redshift	`AWS::Redshift::Cluster`
Amazon-Simple-Storage-Service (Amazon-S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket`
EC2Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`

Erforderliche Ressourcen für AWS Resource Tagging Standard

Alle Steuerelemente im AWS Resource Tagging Standard werden durch Änderungen ausgelöst und verwenden eine AWS Config Regel. Damit Security Hub die Ergebnisse dieser Kontrollen korrekt melden kann, müssen Sie die folgenden Ressourcen in aufzeichnen AWS Config. Sie müssen nur Ressourcen für Kontrollen aufzeichnen, bei denen eine Änderung vom Typ eines Zeitplans ausgelöst wurde. Weitere Informationen zu diesem Standard finden Sie unterAWS Standard für die Kennzeichnung von Ressourcen.

Service	Erforderliche -Ressourcen
AWS AppSync	`AWS::AppSync::GraphQLApi`
Amazon Athena	`AWS::Athena::DataCatalog` `AWS::Athena::WorkGroup`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS Backup (AWS Backup)	`AWS::Backup::BackupPlan` `AWS::Backup::BackupVault` `AWS::Backup::RecoveryPlan` `AWS::Backup::ReportPlan`
AWS CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
AWS CloudTrail	`AWS::CloudTrail::Trail`
AWS CodeArtifact	`AWS::CodeArtifact::Repository`
Amazon Detective	`AWS::Detective::Graph`
AWS Database Migration Service (AWS DMS)	`AWS::DMS::Certificate` `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance` `AWS::DMS::ReplicationSubnetGroup`
Amazon-DynamoDB	`AWS::DynamoDB::Trail`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::CustomerGateway` `AWS::EC2::EIP` `AWS::EC2::FlowLog` `AWS::EC2::Instance` `AWS::EC2::InternetGateway` `AWS::EC2::NatGateway` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::RouteTable` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::TransitGateway` `AWS::EC2::TransitGatewayAttachment` `AWS::EC2::TransitGatewayRouteTable` `AWS::EC2::Volume` `AWS::EC2::VPC` `AWS::EC2::VPCEndpointService` `AWS::EC2::VPCPeeringConnection` `AWS::EC2::VPNGateway`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::PublicRepository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`
Amazon Elastic Kubernetes Service (Amazon) EKS	`AWS::EKS::Cluster` `AWS::EKS::IdentityProviderConfig`
AWS Elastic Beanstalk (Elastic Beanstalk)	`AWS::ElasticBeanstalk::Environment`
ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EventBridge	`AWS::Events::EventBus`
AWS Global Accelerator	`AWS::GlobalAccelerator::Accelerator`
AWS Glue	`AWS::Glue::Job`
Amazon GuardDuty	`AWS::GuardDuty::Detector` `AWS::GuardDuty::Filter` `AWS::GuardDuty::IPSet`
AWS Identity and Access Management (IAM)	`AWS::IAM::Role` `AWS::IAM::User`
AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer)	`AWS::AccessAnalyzer::Analyzer`
AWS IoT	`AWS::IoT::Authorizer` `AWS::IoT::Dimension` `AWS::IoT::MitigationAction` `AWS::IoT::Policy` `AWS::IoT::RoleAlias` `AWS::IoT::SecurityProfile`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
Amazon MQ	`AWS::AmazonMQ::Broker`
AWS Network Firewall	`AWS::NetworkFirewall::Firewall` `AWS::NetworkFirewall::FirewallPolicy`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSecurityGroup` `AWS::RDS::DBSnapshot` `AWS::RDS::DBSubnetGroup`
Amazon-Redshift	`AWS::Redshift::Cluster` `AWS::Redshift::ClusterSnapshot` `AWS::Redshift::ClusterSubnetGroup` `AWS::Redshift::EventSubscription`
Amazon Route 53	`AWS::Route53::HealthCheck`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
Amazon Simple Email Service (AmazonSES)	`AWS::SES::ConfigurationSet` `AWS::SES::ContactList`
Amazon Simple Notification Service (AmazonSNS)	`AWS::SNS::Topic`
Amazon Simple Queue Service (AmazonSQS)	`AWS::SQS::Queue`
AWS Step Functions	`AWS::StepFunctions::Activity`
AWS Transfer Family	`AWS::Transfer::Workflow`

Erforderliche Ressourcen für Service-Managed Standard: AWS Control Tower

Damit Security Hub die Ergebnisse für aktivierte Service-Managed Standard: AWS Control Tower Change Triggered Controls, die eine AWS Config Regel verwenden, korrekt meldet, müssen Sie die folgenden Ressourcen in AWS Config aufzeichnen. Weitere Informationen zu diesem Standard finden Sie unterVom Service verwalteter Standard: AWS Control Tower.

Service	Erforderliche -Ressourcen
APIAmazon-Gateway	`AWS::ApiGateway::Stage` `AWS::ApiGatewayV2::Stage`
AWS Certificate Manager (ACM)	`AWS::ACM::Certificate`
AWS CodeBuild	`AWS::CodeBuild::Project`
Amazon-DynamoDB	`AWS::DynamoDB::Table`
Amazon Elastic Compute Cloud (EC2)	`AWS::EC2::Instance` `AWS::EC2::NetworkAcl` `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup` `AWS::EC2::Subnet` `AWS::EC2::VPNConnection` `AWS::EC2::Volume`
Amazon EC2 Auto Scaling	`AWS::AutoScaling::AutoScalingGroup` `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry (AmazonECR)	`AWS::ECR::Repository`
Amazon Elastic Container Service (AmazonECS)	`AWS::ECS::Cluster` `AWS::ECS::Service` `AWS::ECS::TaskDefinition`
Amazon Elastic File System (AmazonEFS)	`AWS::EFS::AccessPoint`
Amazon EKS	`AWS::EKS::Cluster`
ElasticBeanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer` `AWS::ElasticLoadBalancingV2::LoadBalancer`
ElasticSearch	`AWS::Elasticsearch::Domain`
AWS Identity and Access Management (IAM)	`AWS::IAM::Group` `AWS::IAM::Policy` `AWS::IAM::Role` `AWS::IAM::User`
AWS Key Management Service (AWS KMS)	`AWS::KMS::Alias` `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
AWS Lambda	`AWS::Lambda::Function`
AWS Network Firewall	`AWS::NetworkFirewall::FirewallPolicy` `AWS::NetworkFirewall::RuleGroup`
OpenSearch Amazon-Dienst	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (AmazonRDS)	`AWS::RDS::DBCluster` `AWS::RDS::DBClusterSnapshot` `AWS::RDS::DBInstance` `AWS::RDS::DBSnapshot` `AWS::RDS::EventSubscription`
Amazon-Redshift	`AWS::Redshift::Cluster`
Amazon-Simple-Storage-Service (Amazon-S3)	`AWS::S3::AccountPublicAccessBlock` `AWS::S3::Bucket`
Amazon Simple Notification Service (AmazonSNS)	`AWS::SNS::Topic`
Amazon Simple Queue Service (AmazonSQS)	`AWS::SQS::Queue`
EC2Amazon-Systemmanager (SSM)	`AWS::SSM::AssociationCompliance` `AWS::SSM::ManagedInstanceInventory` `AWS::SSM::PatchCompliance`
AWS Secrets Manager	`AWS::SecretsManager::Secret`
AWS WAF	`AWS::WAFRegional::Rule` `AWS::WAFRegional::RuleGroup` `AWS::WAFRegional::WebACL` `AWS::WAFv2::WebACL`

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Config Regeln und Sicherheitsüberprüfungen

Zeitplan für die Ausführung von Sicherheitsprüfungen