Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Steuerelemente in Security Hub CSPM deaktivieren
<a name="disable-controls-overview"></a>

Um das Suchgeräusch zu reduzieren, kann es hilfreich sein, Steuerungen zu deaktivieren, die für Ihre Umgebung nicht relevant sind. In AWS Security Hub CSPM können Sie eine Steuerung für alle Sicherheitsstandards oder nur für bestimmte Standards deaktivieren. 

Wenn Sie ein Steuerelement für alle Standards deaktivieren, passiert Folgendes:
+ Sicherheitsüberprüfungen für das Steuerelement werden nicht mehr durchgeführt.
+ Für die Kontrolle werden keine zusätzlichen Ergebnisse generiert.
+ Bestehende Ergebnisse werden für die Kontrolle nicht mehr aktualisiert.
+ Bestehende Ergebnisse für die Kontrolle werden automatisch archiviert, in der Regel innerhalb von 3—5 Tagen nach bestem Wissen und Gewissen.
+ Security Hub CSPM entfernt alle zugehörigen AWS Config Regeln, die es für das Steuerelement erstellt hat.

Wenn Sie ein Steuerelement nur für bestimmte Standards deaktivieren, beendet Security Hub CSPM die Ausführung von Sicherheitsüberprüfungen für das Steuerelement nur für diese Standards. Dadurch wird die Kontrolle auch aus den [Berechnungen der Sicherheitsbewertung](standards-security-score.md) für jeden dieser Standards entfernt. Wenn die Steuerung in anderen Standards aktiviert ist, behält Security Hub CSPM die zugehörige AWS Config Regel bei, sofern zutreffend, und führt weiterhin Sicherheitsprüfungen für die Steuerung für die anderen Standards durch. Security Hub CSPM beinhaltet auch die Kontrolle bei der Berechnung der Sicherheitsbewertung für jeden der anderen Standards, was sich auf Ihre zusammenfassende Sicherheitsbewertung auswirkt.

Wenn Sie einen Standard deaktivieren, werden alle Kontrollen, die für den Standard gelten, automatisch für diesen Standard deaktiviert. Die Steuerelemente sind jedoch möglicherweise weiterhin in anderen Standards aktiviert. Wenn Sie einen Standard deaktivieren, verfolgt Security Hub CSPM nicht, welche Kontrollen für den Standard deaktiviert wurden. Wenn Sie denselben Standard zu einem späteren Zeitpunkt erneut aktivieren, werden daher alle für ihn geltenden Steuerelemente automatisch aktiviert. Hinweise zur Deaktivierung eines Standards finden Sie unter. [Deaktivierung eines Standards](disable-standards.md)

Das Deaktivieren eines Steuerelements ist keine permanente Aktion. Angenommen, Sie deaktivieren ein Steuerelement und aktivieren dann einen Standard, der das Steuerelement enthält. Das Steuerelement wird dann für diesen Standard aktiviert. Wenn Sie einen Standard in Security Hub CSPM aktivieren, werden alle Kontrollen, die für den Standard gelten, automatisch aktiviert. Informationen zur Aktivierung eines Standards finden Sie unter. [Einen Standard aktivieren](enable-standards.md)

**Topics**
+ [Ein standardübergreifendes Steuerelement deaktivieren](disable-controls-across-standards.md)
+ [Deaktivierung eines Steuerelements in einem bestimmten Standard](disable-controls-standard.md)
+ [Vorgeschlagene Steuerelemente zum Deaktivieren](controls-to-disable.md)

# Ein standardübergreifendes Steuerelement deaktivieren
<a name="disable-controls-across-standards"></a>

Wir empfehlen, eine standardübergreifende AWS Security Hub CSPM-Steuerung zu deaktivieren, um die Abstimmung in Ihrem gesamten Unternehmen aufrechtzuerhalten. Wenn Sie ein Steuerelement nur in bestimmten Standards deaktivieren, erhalten Sie weiterhin Ergebnisse für das Steuerelement, sofern es in anderen Standards aktiviert ist.

## Standardübergreifende Deaktivierung in mehreren Konten und Regionen
<a name="disable-controls-all-standards-central-configuration"></a>

[Um eine Sicherheitskontrolle für mehrere AWS-Konten Länder zu deaktivieren AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md)

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards deaktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten oder dem Stammkonto zuordnen. OUs Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass alle AWS CloudTrail Steuerelemente in einer Organisationseinheit deaktiviert werden, und Sie können festlegen, dass alle IAM-Steuerelemente in einer anderen Organisationseinheit deaktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für den Sicherheitsschutz in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Kontrollen standardübergreifend deaktiviert, finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Anmerkung**  
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard zu verwalten:. AWS Control Tower Die Kontrollen für diesen Standard sollten im Service konfiguriert werden. AWS Control Tower 

Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Kontrollen in jeder Region separat konfigurieren.

## Standardübergreifende Deaktivierung in einem einzigen Konto und einer Region
<a name="disable-controls-all-standards"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch eine Steuerung für ein einzelnes Konto und eine Region deaktivieren.

------
#### [ Security Hub CSPM console ]

**Um ein standardübergreifendes Steuerelement in einem Konto und einer Region zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich die Option **Controls** aus.

1. Wählen Sie die Option neben einem Steuerelement aus.

1. Wählen Sie **Steuerung deaktivieren**. Diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist.

1. Wählen Sie einen Grund für die Deaktivierung des Steuerelements aus und bestätigen Sie, indem Sie „**Deaktivieren**“ wählen.

1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

------
#### [ Security Hub CSPM API ]

**Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren**

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API auf. Geben Sie eine Sicherheitskontroll-ID an.

   **Beispiel für eine Anfrage:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API auf. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Führen Sie den Befehl aus ARNs, um den Standard abzurufen [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Wiederholen Sie dies in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

------
#### [ AWS CLI ]

**Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren**

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) aus. Geben Sie eine ID für die Sicherheitskontrolle ein.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) aus. Geben Sie den ARN aller Standards an, in denen das Steuerelement aktiviert ist. Führen Sie den `describe-standards` Befehl aus ARNs, um den Standard zu erhalten.

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

------

# Deaktivierung eines Steuerelements in einem bestimmten Standard
<a name="disable-controls-standard"></a>

Sie können ein Steuerelement nur für bestimmte Sicherheitsstandards deaktivieren, anstatt für alle Standards. Wenn die Kontrolle für andere aktivierte Standards gilt, führt AWS Security Hub CSPM weiterhin Sicherheitsprüfungen für die Kontrolle durch und Sie erhalten weiterhin Ergebnisse für die Kontrolle.

Wir empfehlen, den Aktivierungsstatus einer Kontrolle für alle aktivierten Standards, für die die Kontrolle gilt, aufeinander abzustimmen. Informationen zur Deaktivierung eines Steuerelements für alle Standards, für die es gilt, finden Sie unter. [Ein standardübergreifendes Steuerelement deaktivieren](disable-controls-across-standards.md)

Auf der Seite mit den Standarddetails können Sie auch Steuerelemente in bestimmten Standards deaktivieren. Sie müssen die Steuerelemente in bestimmten Standards in jedem AWS-Konto und separat deaktivieren AWS-Region. Wenn Sie ein Steuerelement in bestimmten Standards deaktivieren, wirkt sich dies nur auf das Girokonto und die Region aus.

Wählen Sie Ihre bevorzugte Methode und gehen Sie wie folgt vor, um ein Steuerelement in einem oder mehreren bestimmten Standards zu deaktivieren.

------
#### [ Security Hub CSPM console ]

**Um ein Steuerelement in einem bestimmten Standard zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Sicherheitsstandards** aus. Wählen Sie **Ergebnisse anzeigen** für den entsprechenden Standard aus.

1. Wählen Sie ein Steuerelement aus.

1. Wählen Sie **Steuerung deaktivieren**. Diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist.

1. Geben Sie einen Grund für die Deaktivierung des Steuerelements an und bestätigen Sie, indem **Sie Deaktivieren** wählen.

------
#### [ Security Hub CSPM API ]

**Um ein Steuerelement in einem bestimmten Standard zu deaktivieren**

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` einen Standard-ARN aus und geben Sie ihn an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Diese API gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   **Beispiel für eine Anfrage:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Führen Sie `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.

   **Beispiel für eine Anfrage:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Um ein Steuerelement in einem bestimmten Standard zu deaktivieren**

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` Befehl aus und geben Sie einen Standard-ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten`describe-standards`. Dieser Befehl gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Führen Sie den `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Führen Sie den Befehl `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` aus. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

1. Stellen Sie den `AssociationStatus` Parameter auf`DISABLED`. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub CSPM
<a name="controls-to-disable"></a>

Wir empfehlen, einige AWS Security Hub CSPM-Steuerelemente zu deaktivieren, um das Suchgeräusch und die Nutzungskosten zu reduzieren.

## Steuerungen, die globale Ressourcen verwenden
<a name="controls-to-disable-global-resources"></a>

Einige AWS-Services unterstützen globale Ressourcen, was bedeutet, dass Sie von jeder Ressource aus auf die Ressource zugreifen können AWS-Region. Um Kosten zu sparen AWS Config, können Sie die Aufzeichnung globaler Ressourcen in allen Regionen außer einer Region deaktivieren. Nachdem Sie dies getan haben, führt Security Hub CSPM jedoch weiterhin Sicherheitsüberprüfungen in allen Regionen durch, in denen eine Kontrolle aktiviert ist, und berechnet Ihnen Gebühren auf der Grundlage der Anzahl der Prüfungen pro Konto pro Region. Um das Suchrauschen zu reduzieren und die Kosten für Security Hub CSPM zu senken, sollten Sie daher auch Kontrollen deaktivieren, die globale Ressourcen in allen Regionen betreffen, mit Ausnahme der Region, in der globale Ressourcen erfasst werden.

Wenn ein Steuerelement globale Ressourcen umfasst, aber nur in einer Region verfügbar ist, können Sie, wenn Sie es in dieser Region deaktivieren, keine Ergebnisse für die zugrunde liegende Ressource abrufen. In diesem Fall empfehlen wir, das Steuerelement aktiviert zu lassen. Wenn Sie die regionsübergreifende Aggregation verwenden, sollte die Region, in der das Steuerelement verfügbar ist, die Aggregationsregion oder eine der verknüpften Regionen sein. Die folgenden Steuerelemente beziehen sich auf globale Ressourcen, sind jedoch nur in einer einzigen Region verfügbar:
+ **Alle CloudFront Steuerelemente** — Nur in der Region USA Ost (Nord-Virginia) verfügbar
+ **GlobalAccelerator.1** — Nur in der Region USA West (Oregon) verfügbar
+ **Route 53.2** — Nur in der Region USA Ost (Nord-Virginia) verfügbar
+ **WAF.1, WAF.6, WAF.7, WAF.8** — Nur in der Region USA Ost (Nord-Virginia) verfügbar

**Anmerkung**  
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.  
Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.  
Weitere Informationen zur zentralen Konfiguration finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Für Kontrollen mit einem *periodischen* Zeitplantyp ist es erforderlich, sie in Security Hub CSPM zu deaktivieren, um eine Abrechnung zu verhindern. Die Einstellung des AWS Config Parameters `includeGlobalResourceTypes` auf `false` hat keinen Einfluss auf regelmäßige Security Hub CSPM-Steuerungen.

Die folgenden Security Hub CSPM-Steuerelemente verwenden globale Ressourcen:
+ [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)
+ [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2)
+ [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)
+ [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)
+ [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)
+ [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)
+ [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)
+ [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)
+ [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)
+ [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)
+ [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)
+ [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10)
+ [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)
+ [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)
+ [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)
+ [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)
+ [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)
+ [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)
+ [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)
+ [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)
+ [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21)
+ [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)
+ [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24)
+ [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25)
+ [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)
+ [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1)
+ [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2)
+ [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2)
+ [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7)
+ [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8)

## CloudTrail Steuerelemente zur Protokollierung
<a name="controls-to-disable-cloudtrail-logging"></a>

Das [CloudTrail2.2-Steuerelement](cloudtrail-controls.md#cloudtrail-2) bewertet die Verwendung von AWS Key Management Service (AWS KMS) zur Verschlüsselung von AWS CloudTrail Trail-Logs. Wenn Sie diese Pfade in einem zentralen Protokollierungskonto protokollieren, müssen Sie diese Kontrolle nur für das Konto und den Ort aktivieren, AWS-Region an dem die zentrale Protokollierung stattfindet.

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, wird der Aktivierungsstatus eines Steuerelements auf die Heimatregion und die verknüpften Regionen verteilt. Sie können ein Steuerelement nicht in einigen Regionen deaktivieren und in anderen aktivieren. In diesem Fall können Sie die Ergebnisse des Steuerelements CloudTrail .2 unterdrücken, um das Suchrauschen zu reduzieren.

## CloudWatch Alarmsteuerungen
<a name="controls-to-disable-cloudwatch-alarms"></a>

Wenn Sie Amazon GuardDuty für die Erkennung von Anomalien anstelle von CloudWatch Amazon-Alarmen bevorzugen, können Sie die folgenden Steuerungen deaktivieren, die sich auf CloudWatch Alarme konzentrieren:
+ [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)