Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Compute Cloud (Amazon EC2).
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Kritisch
Ressourcentyp: AWS::::Account
AWS Config -Regel: ebs-snapshot-public-restorable-check
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn Amazon EBS-Snapshots von jedermann wiederhergestellt werden können.
EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt auf Amazon S3 zu sichern. Sie können die Snapshots verwenden, um frühere Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, einen Snapshot mit der Öffentlichkeit zu teilen. Typischerweise wurde die Entscheidung, eine Momentaufnahme öffentlich zu teilen, irrtümlich oder ohne vollständiges Verständnis der Auswirkungen getroffen. Diese Überprüfung trägt dazu bei, dass alle diese Freigaben vollständig geplant und beabsichtigt waren.
Abhilfe
Informationen dazu, wie Sie einen öffentlichen EBS-Snapshot privat machen können, finden Sie unter Einen Snapshot teilen im EC2 Amazon-Benutzerhandbuch. Wählen Sie für Aktionen, Berechtigungen ändern die Option Privat aus.
[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) AWS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::EC2::SecurityGroup
AWS Config -Regel: vpc-default-security-group-closed
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Datenverkehr zulässt. Die Steuerung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Datenverkehr zulässt.
Die Regeln für die Standardsicherheitsgruppe erlauben den gesamten ausgehenden und eingehenden Datenverkehr von Netzwerkschnittstellen (und den zugehörigen Instances), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Standardeinstellung für Sicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Datenverkehr einzuschränken. Dadurch wird unbeabsichtigter Datenverkehr verhindert, falls die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2 Instances konfiguriert wird.
Abhilfe
Um dieses Problem zu beheben, erstellen Sie zunächst neue Sicherheitsgruppen mit den geringsten Rechten. Anweisungen finden Sie unter Erstellen einer Sicherheitsgruppe im Amazon VPC-Benutzerhandbuch. Weisen Sie dann die neuen Sicherheitsgruppen Ihren EC2 Instances zu. Anweisungen finden Sie unter Ändern der Sicherheitsgruppe einer Instance im EC2 Amazon-Benutzerhandbuch.
Nachdem Sie Ihren Ressourcen die neuen Sicherheitsgruppen zugewiesen haben, entfernen Sie alle Regeln für eingehenden und ausgehenden Datenverkehr aus den Standardsicherheitsgruppen. Anweisungen finden Sie unter Sicherheitsgruppenregeln konfigurieren im Amazon VPC-Benutzerhandbuch.
[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::EC2::Volume
AWS Config -Regel: encrypted-volumes
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob die EBS-Volumes, die sich im angefügten Zustand befinden, verschlüsselt sind. Um diese Prüfung zu bestehen, müssen EBS-Volumes in Betrieb und verschlüsselt sein. Wenn das EBS-Volume nicht angefügt ist, unterliegt es nicht dieser Prüfung.
Um eine zusätzliche Sicherheitsebene Ihrer sensiblen Daten in EBS-Volumes zu gewährleisten, sollten Sie die EBS-Verschlüsselung im Ruhezustand aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, ohne dass Sie eine eigene Infrastruktur für die Schlüsselverwaltung erstellen, verwalten und sichern müssen. Bei der Erstellung verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet.
Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter Amazon EBS-Verschlüsselung im EC2 Amazon-Benutzerhandbuch.
Abhilfe
Es gibt keine direkte Möglichkeit, ein vorhandenes unverschlüsseltes Volume oder einen Snapshot zu verschlüsseln. Sie können ein neues Volume oder einen neuen Snapshot nur beim Erstellen verschlüsseln.
Wenn Sie die Verschlüsselung standardmäßig aktiviert haben, verschlüsselt Amazon EBS das resultierende neue Volume oder den Snapshot mit Ihrem Standardschlüssel für die Amazon EBS-Verschlüsselung. Auch wenn Sie die standardmäßige Verschlüsselung nicht aktiviert haben, können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren. In beiden Fällen können Sie den Standardschlüssel für die Amazon EBS-Verschlüsselung überschreiben und einen symmetrischen, vom Kunden verwalteten Schlüssel wählen.
Weitere Informationen finden Sie unter Erstellen eines Amazon EBS-Volumes und Kopieren eines Amazon EBS-Snapshots im EC2 Amazon-Benutzerhandbuch.
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Identifizieren > Bestand
Schweregrad: Mittel
Art der Ressource: AWS::EC2::Instance
AWS Config -Regel: ec2-stopped-instance
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Anzahl der Tage, an denen sich die EC2 Instance im gestoppten Zustand befinden darf, bevor ein fehlgeschlagenes Ergebnis generiert wird. |
Ganzzahl |
|
|
Diese Kontrolle prüft, ob eine EC2 Amazon-Instance länger als die zulässige Anzahl von Tagen gestoppt wurde. Die Kontrolle schlägt fehl, wenn eine EC2 Instance länger als die maximal zulässige Zeitspanne angehalten wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den maximal zulässigen Zeitraum angeben, verwendet Security Hub einen Standardwert von 30 Tagen.
Wenn eine EC2 Instanz über einen längeren Zeitraum nicht ausgeführt wurde, stellt dies ein Sicherheitsrisiko dar, da die Instanz nicht aktiv gewartet (analysiert, gepatcht, aktualisiert) wird. Wenn sie später gestartet wird, kann der Mangel an ordnungsgemäßer Wartung zu unerwarteten Problemen in Ihrer AWS Umgebung führen. Um eine EC2 Instance über einen längeren Zeitraum sicher inaktiv zu halten, starten Sie sie regelmäßig zu Wartungszwecken und beenden Sie sie dann nach der Wartung. Idealerweise sollte dies ein automatisierter Prozess sein.
Abhilfe
Informationen zum Beenden einer inaktiven EC2 Instance finden Sie unter Kündigen einer Instance im EC2 Amazon-Benutzerhandbuch.
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS Foundations Benchmark v3.0.0/3.7, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, (26),, NIST.800-53.r5 SI-7 (8) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Ressourcentyp: AWS::EC2::VPC
AWS Config -Regel: vpc-flow-logs-enabled
Art des Zeitplans: Periodisch
Parameter:
-
trafficType:REJECT(nicht anpassbar)
Dieses Steuerelement prüft, ob Amazon VPC Flow Logs gefunden und aktiviert wurden. VPCs Der Datenverkehrstyp ist auf Reject eingestellt. Die Steuerung schlägt fehl, wenn VPC Flow Logs VPCs in Ihrem Konto nicht aktiviert sind.
Anmerkung
Dieses Steuerelement überprüft nicht, ob Amazon VPC Flow Logs über Amazon Security Lake für aktiviert sind. AWS-Konto
Mit der Funktion VPC Flow Logs können Sie Informationen über den IP-Adressverkehr zu und von Netzwerkschnittstellen in Ihrer VPC erfassen. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die zugehörigen Daten in CloudWatch Logs anzeigen und abrufen. Um die Kosten zu senken, können Sie Ihre Flow-Logs auch an Amazon S3 senden.
Security Hub empfiehlt, die Flussprotokollierung für zurückgewiesene Pakete für zu aktivieren. VPCs Flow-Logs bieten Einblick in den Netzwerkverkehr, der die VPC durchquert, und können anomalen Datenverkehr erkennen oder Einblicke in Sicherheitsworkflows geben.
Standardmäßig enthält der Datensatz Werte für die verschiedenen Komponenten des IP-Adressflusses, einschließlich Quelle, Ziel und Protokoll. Weitere Informationen und Beschreibungen der Protokollfelder finden Sie unter VPC Flow Logs im Amazon VPC-Benutzerhandbuch.
Abhilfe
Informationen zum Erstellen eines VPC-Flow-Protokolls finden Sie unter Erstellen eines Flow-Protokolls im Amazon VPC-Benutzerhandbuch. Nachdem Sie die Amazon VPC-Konsole geöffnet haben, wählen Sie Your VPCs. Wählen Sie für Filter Ablehnen oder Alle.
[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein
Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::::Account
AWS Config -Regel: ec2-ebs-encryption-by-default
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob die Verschlüsselung auf Kontoebene standardmäßig für Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Die Kontrolle schlägt fehl, wenn die Verschlüsselung auf Kontoebene für EBS-Volumes nicht aktiviert ist.
Wenn die Verschlüsselung für Ihr Konto aktiviert ist, werden Amazon EBS-Volumes und Snapshot-Kopien im Ruhezustand verschlüsselt. Dies bietet eine zusätzliche Schutzebene für Ihre Daten. Weitere Informationen finden Sie unter Standardverschlüsselung im EC2 Amazon-Benutzerhandbuch.
Abhilfe
Informationen zur Konfiguration der Standardverschlüsselung für Amazon EBS-Volumes finden Sie unter Standardverschlüsselung im EC2 Amazon-Benutzerhandbuch.
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-6
Kategorie: Schützen > Netzwerksicherheit
Schweregrad: Hoch
Art der Ressource: AWS::EC2::Instance
AWS Config -Regel: ec2-imdsv2-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Ihre EC2 Instanz-Metadatenversion mit Version 2 (IMDSv2) für den Instanz-Metadatendienst konfiguriert ist. Das Steuerelement HttpTokens ist erfolgreich, wenn es auf erforderlich für gesetzt ist IMDSv2. Das Steuerelement schlägt fehl, wenn auf gesetzt HttpTokens istoptional.
Sie verwenden Instanz-Metadaten, um die laufende Instanz zu konfigurieren oder zu verwalten. Das IMDS bietet Zugriff auf temporäre, häufig wechselnde Anmeldeinformationen. Mit diesen Anmeldeinformationen entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen manuell oder programmgesteuert fest zu codieren oder vertrauliche Anmeldeinformationen an Instanzen zu verteilen. Das IMDS ist lokal an jede Instanz angehängt. EC2 Es läuft auf einer speziellen „Link Local“ -IP-Adresse 169.254.169.254. Auf diese IP-Adresse kann nur mit Software zugegriffen werden, die auf der Instance ausgeführt wird.
Version 2 des IMDS bietet neue Schutzmaßnahmen für die folgenden Arten von Sicherheitslücken. Diese Sicherheitslücken könnten genutzt werden, um zu versuchen, auf das IMDS zuzugreifen.
-
Öffnen Sie die Firewalls für Websites und Anwendungen.
-
Öffnen Sie Reverse-Proxys
-
Sicherheitslücken bei serverseitiger Anforderungsfälschung (SSRF)
-
Offene Layer-3-Firewalls und Network Address Translation (NAT)
Security Hub empfiehlt, dass Sie Ihre EC2 Instanzen mit konfigurieren IMDSv2.
Abhilfe
Informationen zur Konfiguration von EC2 Instances mit IMDSv2 finden Sie unter Empfohlener Pfad zur Anforderung IMDSv2 im EC2 Amazon-Benutzerhandbuch.
[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::EC2::Instance
AWS Config -Regel: ec2-instance-no-public-ip
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob EC2 Instances eine öffentliche IP-Adresse haben. Die Steuerung schlägt fehl, wenn das publicIp Feld im EC2 Instanzkonfigurationselement vorhanden ist. Dieses Steuerelement gilt nur für IPv4 Adressen.
Eine öffentliche IPv4 Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Instance mit einer öffentlichen IP-Adresse starten, ist Ihre EC2 Instance über das Internet erreichbar. Eine private IPv4 Adresse ist eine IP-Adresse, die über das Internet nicht erreichbar ist. Sie können private IPv4 Adressen für die Kommunikation zwischen EC2 Instances in derselben VPC oder in Ihrem verbundenen privaten Netzwerk verwenden.
IPv6 Adressen sind weltweit einzigartig und daher über das Internet erreichbar. Standardmäßig ist das IPv6 Adressierungsattribut jedoch in allen Subnetzen auf False gesetzt. Weitere Informationen IPv6 finden Sie unter IP-Adressierung in Ihrer VPC im Amazon VPC-Benutzerhandbuch.
Wenn Sie einen legitimen Anwendungsfall für die Verwaltung von EC2 Instances mit öffentlichen IP-Adressen haben, können Sie die Ergebnisse dieser Kontrolle unterdrücken. Weitere Informationen zu Frontend-Architekturoptionen finden Sie im AWS Architektur-Blog
Abhilfe
Verwenden Sie eine nicht standardmäßige VPC, damit Ihrer Instance standardmäßig keine öffentliche IP-Adresse zugewiesen wird.
Wenn Sie eine EC2 Instance in einer Standard-VPC starten, wird ihr eine öffentliche IP-Adresse zugewiesen. Wenn Sie eine EC2 Instance in einer nicht standardmäßigen VPC starten, bestimmt die Subnetzkonfiguration, ob sie eine öffentliche IP-Adresse erhält. Das Subnetz verfügt über ein Attribut, das bestimmt, ob neue EC2 Instances im Subnetz eine öffentliche IP-Adresse aus dem öffentlichen Adresspool erhalten. IPv4
Sie können eine automatisch zugewiesene öffentliche IP-Adresse von Ihrer Instance trennen. EC2 Weitere Informationen finden Sie unter Öffentliche IPv4 Adressen und externe DNS-Hostnamen im EC2 Amazon-Benutzerhandbuch.
[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Privater API-Zugriff
Schweregrad: Mittel
Art der Ressource: AWS::EC2::VPC
AWS Config -Regel: service-vpc-endpoint-enabled
Art des Zeitplans: Periodisch
Parameter:
-
serviceName:ec2(nicht anpassbar)
Dieses Steuerelement prüft, ob für jede VPC ein Service-Endpunkt für Amazon erstellt EC2 wird. Die Steuerung schlägt fehl, wenn für eine VPC kein VPC-Endpunkt für den EC2 Amazon-Service erstellt wurde.
Diese Kontrolle bewertet Ressourcen in einem einzigen Konto. Es kann keine Ressourcen beschreiben, die sich außerhalb des Kontos befinden. Da AWS Config Security Hub keine kontoübergreifenden Prüfungen durchführt, werden Sie feststellen, VPCs dass die FAILED Ergebnisse für alle Konten gemeinsam genutzt werden. Security Hub empfiehlt, diese FAILED Ergebnisse zu unterdrücken.
Um die Sicherheitslage Ihrer VPC zu verbessern, können Sie Amazon so konfigurieren, EC2 dass es einen VPC-Endpunkt mit Schnittstelle verwendet. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie privat auf EC2 Amazon-API-Operationen zugreifen können. Es schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon EC2 auf das Amazon-Netzwerk ein. Da Endpoints nur in derselben Region unterstützt werden, können Sie keinen Endpunkt zwischen einer VPC und einem Service in einer anderen Region erstellen. Dies verhindert unbeabsichtigte EC2 Amazon-API-Aufrufe in andere Regionen.
Weitere Informationen zum Erstellen von VPC-Endpunkten für Amazon finden Sie unter Amazon EC2 EC2 und Interface-VPC-Endpoints im Amazon-Benutzerhandbuch. EC2
Abhilfe
Informationen zum Erstellen eines Schnittstellenendpunkts zu Amazon EC2 von der Amazon VPC-Konsole aus finden Sie unter Erstellen eines VPC-Endpunkts im AWS PrivateLink Handbuch. Wählen Sie für den Servicenamen com.amazonaws aus. region.ec2.
Sie können auch eine Endpunktrichtlinie erstellen und an Ihren VPC-Endpunkt anhängen, um den Zugriff auf die EC2 Amazon-API zu kontrollieren. Anweisungen zur Erstellung einer VPC-Endpunktrichtlinie finden Sie unter Erstellen einer Endpunktrichtlinie im EC2 Amazon-Benutzerhandbuch.
[EC2.12] Unbenutztes Amazon EC2 EIPs sollte entfernt werden
Verwandte Anforderungen: PCI DSS v3.2.1/2.4, NIST.800-53.R5 CM-8 (1)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::EIP
AWS Config -Regel: eip-attached
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Elastic IP (EIP) -Adressen, die einer VPC zugewiesen sind, mit EC2 Instances oder verwendeten Elastic Network Interfaces () verknüpft sind. ENIs
Ein fehlgeschlagenes Ergebnis deutet darauf hin, dass Sie möglicherweise ungenutzte Daten verwendet haben. EC2 EIPs
Auf diese Weise können Sie einen genauen Bestand an Beständen EIPs in Ihrer Karteninhaberdatenumgebung (CDE) verwalten.
Abhilfe
Informationen zur Freigabe einer ungenutzten EIP finden Sie unter Elastic IP Address veröffentlichen im EC2 Amazon-Benutzerhandbuch.
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.3.1
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Ressourcentyp: AWS::EC2::SecurityGroup
AWS Config -Regel: restricted-ssh
Art des Zeitplans: Ausgelöste und periodische Änderung
Parameter: Keine
Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt.
Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 22 für eingehenden Datenverkehr erlauben sollte. Durch die Unterbindung der uneingeschränkten Konnektivität mit Remote-Konsolenservices wie SSH wird die Risikoaussetzung eines Servers reduziert.
Abhilfe
Um den Zugang zu Port 22 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe, die einer VPC zugeordnet ist, erlaubt. Anweisungen finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2 Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten. Entfernen Sie die Regel, die den Zugriff auf Port 22 ermöglicht.
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
Verwandte Anforderungen: CIS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1 AWS
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::EC2::SecurityGroup
AWS Config Regel: restricted-common-ports(Die erstellte Regel istrestricted-rdp)
Art des Zeitplans: Ausgelöste und periodische Änderung
Parameter: Keine
Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulässt.
Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 3389 für eingehenden Datenverkehr erlauben sollte. Durch die Unterbindung der uneingeschränkten Konnektivität mit Remote-Konsolenservices wie RDP wird die Risikoaussetzung eines Servers reduziert.
Abhilfe
Um den Zugriff auf Port 3389 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe, die einer VPC zugeordnet ist, erlaubt. Anweisungen finden Sie unter Sicherheitsgruppenregeln aktualisieren im Amazon VPC-Benutzerhandbuch. Nachdem Sie in der Amazon VPC-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten. Entfernen Sie die Regel, die den Zugriff auf Port 3389 ermöglicht.
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
Kategorie: Schützen > Netzwerksicherheit
Schweregrad: Mittel
Art der Ressource: AWS::EC2::Subnet
AWS Config -Regel: subnet-auto-assign-public-ip-disabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob die Zuweisung von öffentlichen Subnetzen IPs in Amazon Virtual Private Cloud (Amazon VPC) auf MapPublicIpOnLaunch eingestellt ist. FALSE Die Kontrolle ist erfolgreich, wenn das Flag auf gesetzt ist. FALSE
Alle Subnetze haben ein Attribut, das bestimmt, ob eine im Subnetz erstellte Netzwerkschnittstelle automatisch eine öffentliche IPv4 Adresse erhält. Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.
Abhilfe
Informationen zur Konfiguration eines Subnetzes, sodass keine öffentlichen IP-Adressen zugewiesen werden, finden Sie unter Ändern des öffentlichen IPv4 Adressierungsattributs für Ihr Subnetz im Amazon VPC-Benutzerhandbuch. Deaktivieren Sie das Kontrollkästchen Automatische Zuweisung von öffentlichen IPv4 Adressen aktivieren.
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
Verwandte Anforderungen: NIST.800-53.R5 CM-8 (1), PCI DSS v4.0.1/1.2.7
Kategorie: Schützen > Netzwerksicherheit
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::NetworkAcl
AWS Config -Regel: vpc-network-acl-unused-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob es in Ihrer Virtual Private Cloud (VPC ACLs) ungenutzte Netzwerkzugriffskontrolllisten (Netzwerk) gibt. Die Steuerung schlägt fehl, wenn die Netzwerk-ACL keinem Subnetz zugeordnet ist. Das Steuerelement generiert keine Ergebnisse für eine ungenutzte Standard-Netzwerk-ACL.
Das Steuerelement überprüft die Elementkonfiguration der Ressource AWS::EC2::NetworkAcl und bestimmt die Beziehungen der Netzwerk-ACL.
Wenn die einzige Beziehung die VPC der Netzwerk-ACL ist, schlägt die Steuerung fehl.
Wenn andere Beziehungen aufgeführt sind, ist die Kontrolle erfolgreich.
Abhilfe
Anweisungen zum Löschen einer ungenutzten Netzwerk-ACL finden Sie unter Löschen einer Netzwerk-ACL im Amazon VPC-Benutzerhandbuch. Sie können die Standard-Netzwerk-ACL oder eine ACL, die Subnetzen zugeordnet ist, nicht löschen.
[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)
Kategorie: Schützen > Netzwerksicherheit
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::Instance
AWS Config -Regel: ec2-instance-multiple-eni-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine EC2 Instance mehrere Elastic Network Interfaces (ENIs) oder Elastic Fabric Adapter (EFAs) verwendet. Dieses Steuerelement ist erfolgreich, wenn ein einziger Netzwerkadapter verwendet wird. Das Steuerelement enthält eine optionale Parameterliste zur Identifizierung der zulässigen Parameter ENIs. Diese Kontrolle schlägt auch fehl, wenn eine EC2 Instance, die zu einem Amazon EKS-Cluster gehört, mehr als eine ENI verwendet. Wenn Ihre EC2 Instances mehrere ENIs als Teil eines Amazon EKS-Clusters benötigen, können Sie diese Kontrollergebnisse unterdrücken.
Mehrere ENIs können zu doppelt vernetzten Instances führen, d. h. zu Instances mit mehreren Subnetzen. Dies kann die Komplexität der Netzwerksicherheit erhöhen und unbeabsichtigte Netzwerkpfade und Zugriffe zur Folge haben.
Abhilfe
Informationen zum Trennen einer Netzwerkschnittstelle von einer EC2 Instance finden Sie unter Trennen einer Netzwerkschnittstelle von einer Instance im EC2 Amazon-Benutzerhandbuch.
[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen
Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Konfiguration von Sicherheitsgruppen
Schweregrad: Hoch
Art der Ressource: AWS::EC2::SecurityGroup
AWS Config -Regel: vpc-sg-open-only-to-authorized-ports
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Liste der autorisierten TCP-Ports |
IntegerList (mindestens 1 Artikel und maximal 32 Artikel) |
|
|
|
|
Liste der autorisierten UDP-Ports |
IntegerList (mindestens 1 Artikel und maximal 32 Artikel) |
|
Kein Standardwert |
Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe uneingeschränkten eingehenden Datenverkehr von nicht autorisierten Ports zulässt. Der Kontrollstatus wird wie folgt bestimmt:
-
Wenn Sie den Standardwert für verwenden
authorizedTcpPorts, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem anderen Port als den Ports 80 und 443 zulässt. -
Wenn Sie benutzerdefinierte Werte für
authorizedTcpPortsoder angeben, schlägt die Steuerung fehlauthorizedUdpPorts, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem nicht aufgelisteten Port zulässt. -
Wenn kein Parameter verwendet wird, schlägt die Steuerung für jede Sicherheitsgruppe fehl, für die eine Regel für uneingeschränkten eingehenden Verkehr gilt.
Sicherheitsgruppen bieten eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu. AWS Sicherheitsgruppenregeln sollten dem Prinzip des Zugriffs mit den geringsten Rechten folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, denial-of-service Angriffe und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte der Port den uneingeschränkten Zugriff verweigern.
Abhilfe
Informationen zum Ändern einer Sicherheitsgruppe finden Sie unter Arbeiten mit Sicherheitsgruppen im Amazon VPC-Benutzerhandbuch.
[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Kategorie: Schützen > Eingeschränkter Netzwerkzugriff
Schweregrad: Kritisch
Art der Ressource: AWS::EC2::SecurityGroup
AWS Config Regel: restricted-common-ports(Die erstellte Regel istvpc-sg-restricted-common-ports)
Art des Zeitplans: Ausgelöste und periodische Änderung
Parameter: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (nicht anpassbar)
Diese Kontrolle prüft, ob uneingeschränkter eingehender Verkehr für eine EC2 Amazon-Sicherheitsgruppe über die angegebenen Ports, die als risikoreich gelten, zugänglich ist. Diese Kontrolle schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Datenverkehr von '0.0.0.0/0' oder ': :/0' zu diesen Ports zulässt.
Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, Angriffe und Datenverlust. denial-of-service Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf die folgenden Ports zulassen:
-
20, 21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
110 () POP3
-
135 (PRO STÜCK)
-
143 (IMAP)
-
445 (CIFS)
-
1433, 1434 (MSSQL)
-
3000 (Go-, Node.js- und Ruby-Frameworks für die Webentwicklung)
-
3306 (MySQL)
-
3389 (RDP)
-
4333 (ahsp)
-
5000 (Python-Frameworks für die Webentwicklung)
-
5432 (Postgresql)
-
5500 (1) fcp-addr-srvr
-
5601 (Armaturenbretter) OpenSearch
-
8080 (Proxy)
-
8088 (älterer HTTP-Port)
-
8888 (alternativer HTTP-Port)
-
9200 oder 9300 () OpenSearch
Abhilfe
Informationen zum Löschen von Regeln aus einer Sicherheitsgruppe finden Sie unter Regeln aus einer Sicherheitsgruppe löschen im EC2 Amazon-Benutzerhandbuch.
[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::EC2::VPNConnection
AWS Config -Regel: vpc-vpn-2-tunnels-up
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten vom Kundennetzwerk zu oder aus AWS einer AWS Site-to-Site VPN-Verbindung übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie für eine hohe Verfügbarkeit gleichzeitig verwenden können. Es ist wichtig, sicherzustellen, dass beide VPN-Tunnel für eine VPN-Verbindung verfügbar sind, um eine sichere und hochverfügbare Verbindung zwischen einer AWS VPC und Ihrem Remote-Netzwerk zu bestätigen.
Diese Steuerung überprüft, ob sich beide von VPN bereitgestellten AWS Site-to-Site VPN-Tunnel im UP-Status befinden. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im Status DOWN befinden.
Abhilfe
Informationen zum Ändern der VPN-Tunneloptionen finden Sie unter Ändern der Site-to-Site VPN-Tunneloptionen im AWS Site-to-Site VPN-Benutzerhandbuch.
[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen
Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, (21), (1), NIST.800-53.r5 AC-4 (21), (5), NIST.800-53.r5 CA-9 PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schützen > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::EC2::NetworkAcl
AWS Config -Regel: nacl-no-unrestricted-ssh-rdp
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine Netzwerkzugriffskontrollliste (Network Access Control List, Netzwerk-ACL) uneingeschränkten Zugriff auf die Standard-TCP-Ports für eingehenden SSH/RDP-Verkehr ermöglicht. Die Steuerung schlägt fehl, wenn der eingehende Netzwerk-ACL-Eintrag einen Quell-CIDR-Block von '0.0.0.0/0' oder ': :/0' für die TCP-Ports 22 oder 3389 zulässt. Das Steuerelement generiert keine Ergebnisse für eine Standard-Netzwerk-ACL.
Der Zugriff auf Remoteserveradministrationsports, wie Port 22 (SSH) und Port 3389 (RDP), sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ressourcen innerhalb Ihrer VPC ermöglichen kann.
Abhilfe
Informationen zum Bearbeiten von Netzwerk-ACL-Verkehrsregeln finden Sie unter Arbeiten mit dem Netzwerk ACLs im Amazon VPC-Benutzerhandbuch.
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
Wichtig
AUS BESTIMMTEN STANDARDS AUSGESCHLOSSEN — Security Hub hat diese Kontrolle am 20. September 2023 aus dem Standard AWS Foundational Security Best Practices und der NIST SP 800-53 Rev. 5 entfernt. Dieses Steuerelement ist immer noch Teil des Service-Managed Standard:. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2 Instances oder an eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2 Steuerelemente wie EC2 .2, EC2 .13, EC2 .14, EC2 .18 und .19 verwenden, um Ihre Sicherheitsgruppen zu überwachen. EC2
Kategorie: Identifizieren > Bestand
Schweregrad: Mittel
AWS::EC2::NetworkInterfaceRessourcentyp:, AWS::EC2::SecurityGroup
AWS Config -Regel: ec2-security-group-attached-to-eni-periodic
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob Sicherheitsgruppen an Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder an eine elastic network interface angehängt sind. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keiner EC2 Amazon-Instance oder einer elastic network interface zugeordnet ist.
Abhilfe
Informationen zum Erstellen, Zuweisen und Löschen von Sicherheitsgruppen finden Sie im EC2 Amazon-Benutzerhandbuch unter Sicherheitsgruppen.
[EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::EC2::TransitGateway
AWS Config -Regel: ec2-transit-gateway-auto-vpc-attach-disabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob EC2 Transit-Gateways gemeinsam genutzte VPC-Anhänge automatisch akzeptieren. Diese Steuerung schlägt bei einem Transit-Gateway fehl, das automatisch gemeinsame VPC-Anhangsanforderungen akzeptiert.
Durch die Aktivierung wird ein Transit-Gateway so AutoAcceptSharedAttachments konfiguriert, dass es automatisch alle kontoübergreifenden VPC-Anhangsanforderungen akzeptiert, ohne die Anfrage oder das Konto, von dem der Anhang stammt, zu überprüfen. Um den bewährten Methoden der Autorisierung und Authentifizierung zu folgen, empfehlen wir, diese Funktion zu deaktivieren, um sicherzustellen, dass nur autorisierte VPC-Anhangsanfragen akzeptiert werden.
Abhilfe
Informationen zum Ändern eines Transit-Gateways finden Sie unter Modifizieren eines Transit-Gateways im Amazon VPC Developer Guide.
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
Verwandte Anforderungen: NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::EC2::Instance
AWS Config -Regel: ec2-paravirtual-instance-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob der Virtualisierungstyp einer EC2 Instanz paravirtuell ist. Die Steuerung schlägt fehl, wenn virtualizationType für die EC2 Instanz auf eingestellt ist. paravirtual
Linux Amazon Machine Images (AMIs) verwenden eine von zwei Arten der Virtualisierung: paravirtuelle (PV) oder virtuelle Hardware-Maschine (HVM). Die Hauptunterschiede zwischen PV und HVM AMIs bestehen in der Art und Weise, wie sie booten und ob sie spezielle Hardwareerweiterungen (CPU, Netzwerk und Speicher) für eine bessere Leistung nutzen können.
In der Vergangenheit hatten PV-Gäste in vielen Fällen eine bessere Leistung als HVM-Gäste, aber aufgrund der Verbesserungen bei der HVM-Virtualisierung und der Verfügbarkeit von PV-Treibern für HVM AMIs ist dies nicht mehr der Fall. Weitere Informationen finden Sie unter Linux-AMI-Virtualisierungstypen im EC2 Amazon-Benutzerhandbuch.
Abhilfe
Informationen zum Aktualisieren einer EC2 Instance auf einen neuen Instance-Typ finden Sie unter Ändern des Instance-Typs im EC2 Amazon-Benutzerhandbuch.
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Hoch
Art der Ressource: AWS::EC2::LaunchTemplate
AWS Config -Regel: ec2-launch-template-public-ip-disabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob EC2 Amazon-Startvorlagen so konfiguriert sind, dass Netzwerkschnittstellen beim Start öffentliche IP-Adressen zugewiesen werden. Die Steuerung schlägt fehl, wenn eine EC2 Startvorlage so konfiguriert ist, dass sie Netzwerkschnittstellen eine öffentliche IP-Adresse zuweist, oder wenn mindestens eine Netzwerkschnittstelle mit einer öffentlichen IP-Adresse vorhanden ist.
Eine öffentliche IP-Adresse ist eine Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die mit diesen Netzwerkschnittstellen verknüpften Ressourcen möglicherweise vom Internet aus erreichbar. EC2 Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Workloads ermöglichen kann.
Abhilfe
Informationen zum Aktualisieren einer EC2 Startvorlage finden Sie unter Ändern der Standardeinstellungen für die Netzwerkschnittstelle im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.
[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::Volume
AWS Config Regel: ebs-resources-protected-by-backup-plan
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Das Steuerelement ermittelt, |
Boolesch |
|
Kein Standardwert |
Diese Kontrolle bewertet, ob ein Amazon EBS-Volume, das sich im in-use Status befindet, durch einen Backup-Plan abgedeckt ist. Die Kontrolle schlägt fehl, wenn ein EBS-Volume nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den backupVaultLockCheck Parameter auf gleich setzentrue, ist die Steuerung nur erfolgreich, wenn das EBS-Volume in einem AWS Backup gesperrten Tresor gesichert ist.
Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Wenn Sie Amazon EBS-Volumes in einen Backup-Plan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.
Abhilfe
Informationen zum Hinzufügen eines Amazon EBS-Volumes zu einem AWS Backup Backup-Plan finden Sie unter Zuweisen von Ressourcen zu einem Backup-Plan im AWS Backup Entwicklerhandbuch.
[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Kennzeichnung
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::TransitGatewayAttachment
AWS Config Regel: tagged-ec2-transitgatewayattachment (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Diese Kontrolle prüft, ob ein Amazon EC2 Transit Gateway-Anhang Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der Transit-Gateway-Anhang keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Transit-Gateway-Anhang mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 Transit-Gateway-Anhang finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::TransitGatewayRouteTable
AWS Config Regel: tagged-ec2-transitgatewayroutetable (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon EC2 Transit Gateway-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die Transit-Gateway-Routentabelle keine Tag-Schlüssel enthält oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Transit-Gateway-Routentabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer EC2 Transit-Gateway-Routentabelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::NetworkInterface
AWS Config Regel: tagged-ec2-networkinterface (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine EC2 Amazon-Netzwerkschnittstelle Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Netzwerkschnittstelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerkschnittstelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer EC2 Netzwerkschnittstelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.36] EC2 Kunden-Gateways sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::CustomerGateway
AWS Config Regel: tagged-ec2-customergateway (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein EC2 Amazon-Kunden-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das Kunden-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Kunden-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 Kunden-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::EIP
AWS Config Regel: tagged-ec2-eip (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon EC2 Elastic IP-Adresse Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Elastic IP-Adresse keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Elastic IP-Adresse mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer EC2 Elastic IP-Adresse finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.38] EC2 Instances sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::Instance
AWS Config Regel: tagged-ec2-instance (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine EC2 Amazon-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Instanz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer EC2 Instance finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.39] EC2 Internet-Gateways sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::InternetGateway
AWS Config Regel: tagged-ec2-internetgateway (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein EC2 Amazon-Internet-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Internet-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Internet-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 Internet-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.40] EC2 NAT-Gateways sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::NatGateway
AWS Config Regel: tagged-ec2-natgateway (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon EC2 Network Address Translation (NAT) -Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das NAT-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das NAT-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 NAT-Gateway finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::NetworkAcl
AWS Config Regel: tagged-ec2-networkacl (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Diese Kontrolle prüft, ob eine EC2 Amazon-Netzwerkzugriffskontrollliste (Network ACL) Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die Netzwerk-ACL keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerk-ACL mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer EC2 Netzwerk-ACL finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::RouteTable
AWS Config Regel: tagged-ec2-routetable (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine EC2 Amazon-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Routing-Tabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Routing-Tabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer EC2 Routing-Tabelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.43] EC2 Sicherheitsgruppen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::SecurityGroup
AWS Config Regel: tagged-ec2-securitygroup (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine EC2 Amazon-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer EC2 Sicherheitsgruppe finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.44] EC2 Subnetze sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::Subnet
AWS Config Regel: tagged-ec2-subnet (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein EC2 Amazon-Subnetz Tags mit den spezifischen Schlüsseln hat, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn das Subnetz keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Subnetz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 Subnetz finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.45] EC2 Volumen sollten mit Tags versehen werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::Volume
AWS Config Regel: tagged-ec2-volume (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein EC2 Amazon-Volume Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Volume keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Volume mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 Band finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.46] Amazon VPCs sollte markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::VPC
AWS Config Regel: tagged-ec2-vpc (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon Virtual Private Cloud (Amazon VPC) Tags mit den spezifischen Schlüsseln hat, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn die Amazon VPC keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter requiredTagKeys angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Amazon VPC mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer VPC finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::VPCEndpointService
AWS Config Regel: tagged-ec2-vpcendpointservice (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon VPC-Endpunktservice über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn der Endpunkt-Service keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter requiredTagKeys angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Endpunktdienst mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem Amazon VPC-Endpunktservice finden Sie unter Tags verwalten im Abschnitt Konfiguration eines Endpunktdienstes des AWS PrivateLink Handbuchs.
[EC2.48] Amazon VPC-Flow-Logs sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::FlowLog
AWS Config Regel: tagged-ec2-flowlog (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon VPC-Flow-Log Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn das Flow-Protokoll keine Tag-Schlüssel enthält oder wenn es nicht alle im Parameter requiredTagKeys angegebenen Schlüssel enthält. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Flow-Protokoll mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem Amazon VPC-Flow-Protokoll finden Sie unter Taggen eines Flow-Protokolls im Amazon VPC-Benutzerhandbuch.
[EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::VPCPeeringConnection
AWS Config Regel: tagged-ec2-vpcpeeringconnection (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon VPC-Peering-Verbindung Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. requiredTagKeys Die Steuerung schlägt fehl, wenn die Peering-Verbindung keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Peering-Verbindung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einer Amazon VPC-Peering-Verbindung finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.50] EC2 VPN-Gateways sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::VPNGateway
AWS Config Regel: tagged-ec2-vpngateway (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon EC2 VPN-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das VPN-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das VPN-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 VPN-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
Kategorie: Identifizieren > Protokollierung
Schweregrad: Niedrig
Ressourcentyp: AWS::EC2::ClientVpnEndpoint
AWS Config Regel: ec2-client-vpn-connection-log-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für einen AWS Client VPN Endpunkt die Client-Verbindungsprotokollierung aktiviert ist. Die Steuerung schlägt fehl, wenn für den Endpunkt die Client-Verbindungsprotokollierung nicht aktiviert ist.
Client-VPN-Endpunkte ermöglichen Remote-Clients die sichere Verbindung zu Ressourcen in einer Virtual Private Cloud (VPC) in. AWS Verbindungsprotokolle ermöglichen es Ihnen, Benutzeraktivitäten auf dem VPN-Endpunkt zu verfolgen und bieten Transparenz. Wenn Sie die Verbindungsprotokollierung aktivieren, können Sie den Namen eines Protokolldatenstroms in der Protokollgruppe angeben. Wenn Sie keinen Protokollstream angeben, erstellt der Client-VPN-Dienst einen für Sie.
Abhilfe
Informationen zum Aktivieren der Verbindungsprotokollierung finden Sie unter Aktivieren der Verbindungsprotokollierung für einen vorhandenen Client-VPN-Endpunkt im AWS Client VPN Administratorhandbuch.
[EC2.52] EC2 Transit-Gateways sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::TransitGateway
AWS Config Regel: tagged-ec2-transitgateway (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Diese Steuerung prüft, ob ein Amazon EC2 Transit Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das Transit-Gateway keine Tag-Schlüssel hat oder wenn es nicht über alle im Parameter angegebenen Schlüssel verfügtrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Transit-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem EC2 Transit-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
[EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::EC2::SecurityGroup
AWS Config -Regel: vpc-sg-port-restriction-check
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Die IP-Version |
String |
Nicht anpassbar |
|
|
|
Liste der Ports, die eingehenden Datenverkehr ablehnen sollen |
IntegerList |
Nicht anpassbar |
|
Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugriff von 0.0.0.0/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 auf Port 22 oder 3389 zulässt.
Sicherheitsgruppen ermöglichen eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen. AWS Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Ports für die Remoteserververwaltung zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389, wobei entweder die Protokolle TDP (6), UDP (17) oder ALL (-1) verwendet werden. Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.
Abhilfe
Informationen zum Aktualisieren einer EC2 Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2 Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.
[EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::EC2::SecurityGroup
AWS Config -Regel: vpc-sg-port-restriction-check
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Die IP-Version |
String |
Nicht anpassbar |
|
|
|
Liste der Ports, die eingehenden Datenverkehr ablehnen sollen |
IntegerList |
Nicht anpassbar |
|
Diese Steuerung prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugriff von: :/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von: :/0 zu Port 22 oder 3389 zulässt.
Sicherheitsgruppen ermöglichen eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen. AWS Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Ports für die Remoteserververwaltung zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389, wobei entweder die Protokolle TDP (6), UDP (17) oder ALL (-1) verwendet werden. Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.
Abhilfe
Informationen zum Aktualisieren einer EC2 Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2 Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.
[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)
Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle
Schweregrad: Mittel
Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint
AWS Config -Regel: vpc-endpoint-enabled
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Erforderlich | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|---|
serviceNames
|
Erforderlich | Der Name des Dienstes, den das Steuerelement auswertet | String | Nicht anpassbar | ecr.api |
vpcIds
|
Optional | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben. |
StringList | Mit einer oder mehreren VPC anpassen IDs | Kein Standardwert |
Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für die Amazon ECR-API verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für die ECR-API hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.
AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.
Abhilfe
Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle im AWS PrivateLink Handbuch.
[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)
Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle
Schweregrad: Mittel
Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint
AWS Config -Regel: vpc-endpoint-enabled
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Erforderlich | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|---|
serviceNames
|
Erforderlich | Der Name des Dienstes, den das Steuerelement auswertet | String | Nicht anpassbar | ecr.dkr |
vpcIds
|
Optional | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben. |
StringList | Mit einer oder mehreren VPC anpassen IDs | Kein Standardwert |
Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für Docker Registry verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Docker Registry hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.
AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.
Abhilfe
Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle im AWS PrivateLink Handbuch.
[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle
Schweregrad: Mittel
Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint
AWS Config -Regel: vpc-endpoint-enabled
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Erforderlich | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|---|
serviceNames
|
Erforderlich | Der Name des Dienstes, den das Steuerelement auswertet | String | Nicht anpassbar | ssm |
vpcIds
|
Optional | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben. |
StringList | Mit einer oder mehreren VPC anpassen IDs | Kein Standardwert |
Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt verfügt. AWS Systems Manager Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.
AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.
Abhilfe
Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle im AWS PrivateLink Handbuch.
[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle
Schweregrad: Mittel
Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint
AWS Config -Regel: vpc-endpoint-enabled
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Erforderlich | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|---|
serviceNames
|
Erforderlich | Der Name des Dienstes, den das Steuerelement auswertet | String | Nicht anpassbar | ssm-contacts |
vpcIds
|
Optional | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben. |
StringList | Mit einer oder mehreren VPC anpassen IDs | Kein Standardwert |
Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für AWS Systems Manager Incident Manager-Kontakte verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager Incident Manager-Kontakte hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.
AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.
Abhilfe
Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle im AWS PrivateLink Handbuch.
[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle
Schweregrad: Mittel
Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint
AWS Config -Regel: vpc-endpoint-enabled
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Erforderlich | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|---|
serviceNames
|
Erforderlich | Der Name des Dienstes, den das Steuerelement auswertet | String | Nicht anpassbar | ssm-incidents |
vpcIds
|
Optional | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben. |
StringList | Mit einer oder mehreren VPC anpassen IDs | Kein Standardwert |
Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für AWS Systems Manager Incident Manager verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager Incident Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.
AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.
Abhilfe
Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle im AWS PrivateLink Handbuch.
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2
Verwandte Anforderungen: PCI DSS v4.0.1/2.2.6
Kategorie: Schützen > Netzwerksicherheit
Schweregrad: Niedrig
Art der Ressource: AWS::EC2::LaunchTemplate
AWS Config -Regel: ec2-launch-template-imdsv2-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine EC2 Amazon-Startvorlage mit Instance Metadata Service Version 2 (IMDSv2) konfiguriert ist. Die Steuerung schlägt fehl, wenn sie auf gesetzt HttpTokens istoptional.
Das Ausführen von Ressourcen auf unterstützten Softwareversionen gewährleistet optimale Leistung, Sicherheit und Zugriff auf die neuesten Funktionen. Regelmäßige Updates schützen vor Sicherheitslücken und sorgen so für ein stabiles und effizientes Benutzererlebnis.
Abhilfe
Informationen IMDSv2 zur Anforderung einer EC2 Startvorlage finden Sie unter Konfiguration der Optionen für den Instance-Metadaten-Service im EC2 Amazon-Benutzerhandbuch.
[EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein
Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::EC2::VPNConnection
AWS Config -Regel: ec2-vpn-connection-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob bei einer AWS Site-to-Site VPN-Verbindung Amazon CloudWatch Logs für beide Tunnel aktiviert ist. Die Kontrolle schlägt fehl, wenn bei einer Site-to-Site VPN-Verbindung CloudWatch Logs nicht für beide Tunnel aktiviert sind.
AWS Site-to-Site VPN-Protokolle bieten Ihnen einen tieferen Einblick in Ihre Site-to-Site VPN-Bereitstellungen. Mit dieser Funktion haben Sie Zugriff auf Site-to-Site VPN-Verbindungsprotokolle, die Details zur Einrichtung eines IP-Security-Tunnels (IPsec), zu IKE-Verhandlungen (Internet Key Exchange) und zu DPD-Protokollnachrichten (Dead Peer Detection) enthalten. Site-to-Site VPN-Protokolle können in CloudWatch Logs veröffentlicht werden. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN-Verbindungen zuzugreifen und diese zu analysieren.
Abhilfe
Informationen zur Aktivierung der Tunnelprotokollierung für eine EC2 AWS Site-to-Site VPN-Verbindung finden Sie unter VPN-Protokolle im AWS Site-to-Site VPN-Benutzerhandbuch.
[EC2.172] Die Einstellungen von EC2 VPC Block Public Access sollten den Internet-Gateway-Verkehr blockieren
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Mittel
Art der Ressource: AWS::EC2::VPCBlockPublicAccessOptions
AWS Config Regel: ec2-vpc-bpa-internet-gateway-blocked (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Zeichenkettenwert des VPC BPA-Optionsmodus. |
Enum |
|
Kein Standardwert |
Dieses Steuerelement prüft, ob die Amazon EC2 VPC Block Public Access (BPA) -Einstellungen so konfiguriert sind, dass der Internet-Gateway-Verkehr für den gesamten Amazon VPCs in der blockiert wird. AWS-Konto Die Steuerung schlägt fehl, wenn die VPC BPA-Einstellungen nicht so konfiguriert sind, dass sie den Internet-Gateway-Verkehr blockieren. Damit die Kontrolle erfolgreich ist, InternetGatewayBlockMode muss der VPC BPA auf oder gesetzt seinblock-bidirectional. block-ingress Wenn der Parameter angegeben vpcBpaInternetGatewayBlockMode wird, wird die Steuerung nur erfolgreich ausgeführt, wenn der VPC BPA-Wert für InternetGatewayBlockMode mit dem Parameter übereinstimmt.
Wenn Sie die VPC-BPA-Einstellungen für Ihr Konto in einem konfigurieren, AWS-Region können Sie verhindern, dass Ressourcen in VPCs und Subnetzen, die Sie besitzen, in dieser Region über Internet-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr erreichen oder vom Internet aus erreicht werden. Wenn Sie bestimmte VPCs Subnetze benötigen, um auf das Internet zuzugreifen oder über das Internet erreichbar zu sein, können Sie diese ausschließen, indem Sie VPC-BPA-Ausschlüsse konfigurieren. Anweisungen zum Erstellen und Löschen von Ausschlüssen finden Sie unter Ausnahmen erstellen und löschen im Amazon VPC-Benutzerhandbuch.
Abhilfe
Informationen zur Aktivierung von bidirektionalem BPA auf Kontoebene finden Sie unter Bidirektionalen BPA-Modus für Ihr Konto aktivieren im Amazon VPC-Benutzerhandbuch. Informationen zum Aktivieren von BPA nur für eingehenden Datenverkehr finden Sie unter Ändern des VPC-BPA-Modus auf Nur eingehenden Datenverkehr. Informationen zur Aktivierung von VPC BPA auf Organisationsebene finden Sie unter Aktivieren von VPC BPA auf Organisationsebene.
