Security Hub-Steuerelemente für Amazon EC2

Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Compute Cloud (AmazonEC2).

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein

Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11),, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Kritisch

Art der Ressource: AWS::::Account

AWS Config -Regel: ebs-snapshot-public-restorable-check

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn EBS Amazon-Snapshots von jemandem wiederhergestellt werden können.

EBSSnapshots werden verwendet, um die Daten auf Ihren EBS Volumes zu einem bestimmten Zeitpunkt auf Amazon S3 zu sichern. Sie können die Snapshots verwenden, um den vorherigen Status von EBS Volumes wiederherzustellen. Es ist selten akzeptabel, einen Snapshot mit der Öffentlichkeit zu teilen. Typischerweise wurde die Entscheidung, eine Momentaufnahme öffentlich zu teilen, irrtümlich oder ohne vollständiges Verständnis der Auswirkungen getroffen. Diese Überprüfung trägt dazu bei, dass alle diese Freigaben vollständig geplant und beabsichtigt waren.

Abhilfe

Informationen dazu, wie Sie einen öffentlichen EBS Snapshot privat machen können, finden Sie unter Einen Snapshot teilen im EC2Amazon-Benutzerhandbuch. Wählen Sie unter Aktionen, Berechtigungen ändern die Option Privat aus.

[EC2.2] VPC Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, Foundations Benchmark v1.4.0/5.3, Foundations Benchmark v3.0.0/5.4,, CIS AWS (21), (11), (16), CIS AWS (21), (4), (5) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-default-security-group-closed

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Standardsicherheitsgruppe von a eingehenden oder ausgehenden Datenverkehr VPC zulässt. Die Steuerung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Datenverkehr zulässt.

Die Regeln für die Standardsicherheitsgruppe erlauben den gesamten ausgehenden und eingehenden Datenverkehr von Netzwerkschnittstellen (und den zugehörigen Instances), die derselben Sicherheitsgruppe zugewiesen sind. Es wird empfohlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Standardeinstellung für Sicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Datenverkehr einzuschränken. Dadurch wird unbeabsichtigter Datenverkehr verhindert, falls die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2 Instances konfiguriert wird.

Abhilfe

Um dieses Problem zu beheben, erstellen Sie zunächst neue Sicherheitsgruppen mit den geringsten Rechten. Anweisungen finden Sie unter Erstellen einer Sicherheitsgruppe im VPCAmazon-Benutzerhandbuch. Weisen Sie dann die neuen Sicherheitsgruppen Ihren EC2 Instances zu. Anweisungen finden Sie unter Ändern der Sicherheitsgruppe einer Instance im EC2Amazon-Benutzerhandbuch.

Nachdem Sie Ihren Ressourcen die neuen Sicherheitsgruppen zugewiesen haben, entfernen Sie alle Regeln für eingehenden und ausgehenden Datenverkehr aus den Standardsicherheitsgruppen. Anweisungen finden Sie unter Sicherheitsgruppenregeln konfigurieren im VPCAmazon-Benutzerhandbuch.

[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Volume

AWS Config -Regel: encrypted-volumes

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die EBS Volumes, die sich in einem angehängten Zustand befinden, verschlüsselt sind. Um diese Prüfung zu bestehen, müssen die EBS Volumes verwendet und verschlüsselt sein. Wenn das EBS Volume nicht angeschlossen ist, wird es dieser Prüfung nicht unterzogen.

Um eine zusätzliche Sicherheitsebene für Ihre vertraulichen Daten in EBS Volumes zu gewährleisten, sollten Sie die EBS Verschlüsselung im Ruhezustand aktivieren. Amazon EBS Encryption bietet eine unkomplizierte Verschlüsselungslösung für Ihre EBS Ressourcen, bei der Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, warten und sichern müssen. Bei der Erstellung verschlüsselter Volumes und Snapshots werden KMS Schlüssel verwendet.

Weitere Informationen zur EBS Amazon-Verschlüsselung finden Sie unter EBSAmazon-Verschlüsselung im EC2Amazon-Benutzerhandbuch.

Abhilfe

Es gibt keine direkte Möglichkeit, ein vorhandenes unverschlüsseltes Volume oder einen Snapshot zu verschlüsseln. Sie können ein neues Volume oder einen neuen Snapshot nur beim Erstellen verschlüsseln.

Wenn Sie die Verschlüsselung standardmäßig aktiviert haben, EBS verschlüsselt Amazon das resultierende neue Volume oder den Snapshot mit Ihrem Standardschlüssel für die EBS Amazon-Verschlüsselung. Auch wenn Sie die standardmäßige Verschlüsselung nicht aktiviert haben, können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren. In beiden Fällen können Sie den Standardschlüssel für die EBS Amazon-Verschlüsselung überschreiben und einen symmetrischen, vom Kunden verwalteten Schlüssel wählen.

Weitere Informationen finden Sie unter Erstellen eines EBS Amazon-Volumes und Kopieren eines EBS Amazon-Snapshots im EC2Amazon-Benutzerhandbuch.

[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-stopped-instance

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`AllowedDays`	Anzahl der Tage, an denen sich die EC2 Instance im gestoppten Zustand befinden darf, bevor ein fehlgeschlagenes Ergebnis generiert wird.	Ganzzahl	`1` auf `365`	`30`

Diese Kontrolle prüft, ob eine EC2 Amazon-Instance länger als die zulässige Anzahl von Tagen gestoppt wurde. Die Kontrolle schlägt fehl, wenn eine EC2 Instance länger als die maximal zulässige Zeitspanne angehalten wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den maximal zulässigen Zeitraum angeben, verwendet Security Hub einen Standardwert von 30 Tagen.

Wenn eine EC2 Instanz über einen längeren Zeitraum nicht ausgeführt wurde, stellt dies ein Sicherheitsrisiko dar, da die Instanz nicht aktiv gewartet (analysiert, gepatcht, aktualisiert) wird. Wenn sie später gestartet wird, kann der Mangel an ordnungsgemäßer Wartung zu unerwarteten Problemen in Ihrer AWS Umgebung führen. Um eine EC2 Instance über einen längeren Zeitraum sicher inaktiv zu halten, starten Sie sie regelmäßig zu Wartungszwecken und beenden Sie sie dann nach der Wartung. Idealerweise sollte dies ein automatisierter Prozess sein.

Abhilfe

Informationen zum Beenden einer inaktiven EC2 Instance finden Sie unter Kündigen einer Instance im EC2Amazon-Benutzerhandbuch.

[EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/2.9, Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, PCI DSS v3.2.1/10.3.3, CIS AWS v3.2.1/10.3.4, v3.2.1/10.3.5, v3.2.1/10.3.6, (26),, .800-53.r5 SI-7 (8 PCIDSS) PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::EC2::VPC

AWS Config -Regel: vpc-flow-logs-enabled

Art des Zeitplans: Periodisch

Parameter:

trafficType: REJECT (nicht anpassbar)

Dieses Steuerelement prüft, ob Amazon VPC Flow Logs gefunden und aktiviert wurdenVPCs. Der Datenverkehrstyp ist auf eingestelltReject. Die Steuerung schlägt fehl, wenn VPC Flow Logs VPCs in Ihrem Konto nicht aktiviert sind.

Anmerkung

Dieses Steuerelement überprüft nicht, ob Amazon VPC Flow Logs über Amazon Security Lake für aktiviert sind AWS-Konto.

Mit der VPC Flow Logs-Funktion können Sie Informationen über den IP-Adressverkehr zu und von Netzwerkschnittstellen in Ihrem erfassenVPC. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die zugehörigen Daten in CloudWatch Logs anzeigen und abrufen. Um die Kosten zu senken, können Sie Ihre Flow-Logs auch an Amazon S3 senden.

Security Hub empfiehlt, die Flussprotokollierung für zurückgewiesene Pakete für zu aktivieren. VPCs Flow-Logs bieten Einblick in den Netzwerkverkehr, der das Land durchquert, VPC und können anomalen Datenverkehr erkennen oder Einblicke in Sicherheitsworkflows geben.

Standardmäßig enthält der Datensatz Werte für die verschiedenen Komponenten des IP-Adressflusses, einschließlich Quelle, Ziel und Protokoll. Weitere Informationen und Beschreibungen der Protokollfelder finden Sie unter VPCFlow Logs im VPCAmazon-Benutzerhandbuch.

Abhilfe

Informationen zum Erstellen eines VPC Flow-Protokolls finden Sie unter Erstellen eines Flow-Protokolls im VPCAmazon-Benutzerhandbuch. Nachdem Sie die VPC Amazon-Konsole geöffnet haben, wählen Sie Ihr VPCs. Wählen Sie für Filter die Option Ablehnen oder Alle aus.

[EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7 NIST

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: ec2-ebs-encryption-by-default

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Kontrolle prüft, ob die Verschlüsselung auf Kontoebene standardmäßig für Amazon Elastic Block Store (AmazonEBS) aktiviert ist. Die Kontrolle schlägt fehl, wenn die Verschlüsselung auf Kontoebene nicht aktiviert ist.

Wenn die Verschlüsselung für Ihr Konto aktiviert ist, werden EBS Amazon-Volumes und Snapshot-Kopien im Ruhezustand verschlüsselt. Dies bietet eine zusätzliche Schutzebene für Ihre Daten. Weitere Informationen finden Sie unter Standardverschlüsselung im EC2Amazon-Benutzerhandbuch.

Beachten Sie, dass die folgenden Instance-Typen keine Verschlüsselung unterstützen: R1, C1 und M1.

Abhilfe

Informationen zur Konfiguration der Standardverschlüsselung für EBS Amazon-Volumes finden Sie unter Standardverschlüsselung im EC2Amazon-Benutzerhandbuch.

[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 v4.0.1/2.2.6 NIST.800-53.r5 AC-6 PCI DSS

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Hoch

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-imdsv2-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Ihre EC2 Instanz-Metadatenversion mit Version 2 (IMDSv2) für den Instanz-Metadatendienst konfiguriert ist. Das Steuerelement HttpTokens wird erfolgreich ausgeführt, wenn es auf erforderlich für gesetzt istIMDSv2. Das Steuerelement schlägt fehl, wenn auf gesetzt HttpTokens istoptional.

Sie verwenden Instanz-Metadaten, um die laufende Instanz zu konfigurieren oder zu verwalten. Das IMDS bietet Zugriff auf temporäre, häufig wechselnde Anmeldeinformationen. Mit diesen Anmeldeinformationen entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen manuell oder programmgesteuert fest zu codieren oder vertrauliche Anmeldeinformationen an Instanzen zu verteilen. Das IMDS ist lokal an jede EC2 Instanz angehängt. Es läuft auf einer speziellen „Link-Local“ -IP-Adresse von 169.254.169.254. Auf diese IP-Adresse kann nur mit Software zugegriffen werden, die auf der Instance ausgeführt wird.

Version 2 von IMDS fügt neue Schutzmaßnahmen für die folgenden Arten von Sicherheitslücken hinzu. Diese Sicherheitsanfälligkeiten könnten genutzt werden, um auf die IMDS zuzugreifen.

Öffnen Sie die Firewalls für Websites und Anwendungen.
Öffnen Sie Reverse-Proxys
Sicherheitslücken bei serverseitiger Request Forgery () SSRF
Offene Layer-3-Firewalls und Netzwerkadressübersetzung () NAT

Security Hub empfiehlt, dass Sie Ihre EC2 Instanzen mit konfigurierenIMDSv2.

Abhilfe

Informationen zur Konfiguration von EC2 Instances mit IMDSv2 finden Sie unter Empfohlener Pfad zur Anforderung IMDSv2 im EC2Amazon-Benutzerhandbuch.

[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Hoch

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-instance-no-public-ip

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob EC2 Instances eine öffentliche IP-Adresse haben. Die Steuerung schlägt fehl, wenn das publicIp Feld im EC2 Instanzkonfigurationselement vorhanden ist. Dieses Steuerelement gilt nur für IPv4 Adressen.

Eine öffentliche IPv4 Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Instance mit einer öffentlichen IP-Adresse starten, ist Ihre EC2 Instance über das Internet erreichbar. Eine private IPv4 Adresse ist eine IP-Adresse, die über das Internet nicht erreichbar ist. Sie können private IPv4 Adressen für die Kommunikation zwischen EC2 Instanzen im selben VPC oder in Ihrem verbundenen privaten Netzwerk verwenden.

IPv6Adressen sind weltweit einzigartig und daher über das Internet erreichbar. Standardmäßig ist das IPv6 Adressierungsattribut jedoch in allen Subnetzen auf False gesetzt. Weitere Informationen zu IPv6 finden Sie unter IP-Adressierung VPC in Ihrem im VPCAmazon-Benutzerhandbuch.

Wenn Sie einen legitimen Anwendungsfall für die Verwaltung von EC2 Instances mit öffentlichen IP-Adressen haben, können Sie die Ergebnisse dieser Kontrolle unterdrücken. Weitere Informationen zu Frontend-Architekturoptionen finden Sie im AWS Architektur-Blog oder in der AWS Videoserie This Is My Architecture-Serie.

Abhilfe

Verwenden Sie eine nicht standardmäßige, VPC damit Ihrer Instance standardmäßig keine öffentliche IP-Adresse zugewiesen wird.

Wenn Sie eine EC2 Instance mit einer Standardeinstellung startenVPC, wird ihr eine öffentliche IP-Adresse zugewiesen. Wenn Sie eine EC2 Instance in einer anderen als der Standardeinstellung startenVPC, bestimmt die Subnetzkonfiguration, ob sie eine öffentliche IP-Adresse erhält. Das Subnetz verfügt über ein Attribut, das bestimmt, ob neue EC2 Instances im Subnetz eine öffentliche IP-Adresse aus dem öffentlichen Adresspool erhalten. IPv4

Sie können eine automatisch zugewiesene öffentliche IP-Adresse von Ihrer Instance trennen. EC2 Weitere Informationen finden Sie unter Öffentliche IPv4 Adressen und externe DNS Hostnamen im EC2Amazon-Benutzerhandbuch.

[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Kategorie: Schützen > Sichere Netzwerkkonfiguration > API privater Zugriff

Schweregrad: Mittel

Art der Ressource: AWS::EC2::VPC

AWS Config -Regel: service-vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

serviceName: ec2 (nicht anpassbar)

Dieses Steuerelement prüft, ob für jeden ein Service-Endpunkt für Amazon EC2 erstellt wurdeVPC. Die Steuerung schlägt fehl, wenn für a VPC kein VPC Endpunkt für den EC2 Amazon-Service erstellt wurde.

Diese Kontrolle bewertet Ressourcen in einem einzigen Konto. Es kann keine Ressourcen beschreiben, die sich außerhalb des Kontos befinden. Da AWS Config Security Hub keine kontoübergreifenden Prüfungen durchführt, werden Sie feststellen, VPCs dass die FAILED Ergebnisse für alle Konten gemeinsam genutzt werden. Security Hub empfiehlt, diese FAILED Ergebnisse zu unterdrücken.

Um Ihre Sicherheitslage zu verbessernVPC, können Sie Amazon so konfigurieren, EC2 dass es einen VPC Schnittstellenendpunkt verwendet. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie privat auf EC2 API Amazon-Operationen zugreifen können. Es schränkt den gesamten Netzwerkverkehr zwischen Ihnen VPC und Amazon EC2 auf das Amazon-Netzwerk ein. Da Endgeräte nur in derselben Region unterstützt werden, können Sie keinen Endpunkt zwischen einem VPC und einem Service in einer anderen Region erstellen. Dies verhindert unbeabsichtigte EC2 API Amazon-Anrufe in andere Regionen.

Weitere Informationen zum Erstellen von VPC Endpunkten für Amazon EC2 finden Sie unter Amazon EC2 und VPC Schnittstellenendpunkte im EC2Amazon-Benutzerhandbuch.

Abhilfe

Informationen zum Erstellen eines Schnittstellenendpunkts zu Amazon EC2 von der VPC Amazon-Konsole aus finden Sie unter Erstellen eines VPC Endpunkts im AWS PrivateLink Handbuch. Wählen Sie für den Servicenamen com.amazonaws aus. region.ec2.

Sie können auch eine Endpunktrichtlinie erstellen und an Ihren VPC Endpunkt anhängen, um den Zugriff auf Amazon zu kontrollieren EC2API. Anweisungen zum Erstellen einer VPC Endpunktrichtlinie finden Sie unter Erstellen einer Endpunktrichtlinie im EC2Amazon-Benutzerhandbuch.

[EC2.12] Unbenutztes Amazon EC2 EIPs sollte entfernt werden

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, .800-53.r5 CM-8 (1) NIST

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::EIP

AWS Config -Regel: eip-attached

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Elastic IP (EIP) -Adressen, die a zugewiesen VPC sind, mit EC2 Instances oder verwendeten Elastic Network-Schnittstellen (ENIs) verknüpft sind.

Ein fehlgeschlagenes Ergebnis deutet darauf hin, dass Sie möglicherweise ungenutzte EC2 EIPs haben.

Auf diese Weise können Sie einen genauen Inventarbestand der EIPs in Ihrer Karteninhaberdatenumgebung gespeicherten Daten verwalten (CDE).

Abhilfe

Informationen zur Freigabe einer ungenutzten EIP IP-Adresse finden Sie unter Elastic IP Address veröffentlichen im EC2Amazon-Benutzerhandbuch.

[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, (21), (11), (16), (21), (4), NIST.800-53.r5 AC-4 (5) NIST.800-53.r5 AC-4, v4.0.1/1.3.1 NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: restricted-ssh

Art des Zeitplans: Ausgelöste und periodische Änderung

Parameter: Keine

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 22 für eingehenden Datenverkehr erlauben sollte. Durch das Entfernen der uneingeschränkten Konnektivität zu Remote-Konsolendiensten, z. B.SSH, wird das Risiko für einen Server verringert.

Abhilfe

Um den Zugriff auf Port 22 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe erlaubt, die einem zugeordnet ist. VPC Anweisungen finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten aus. Entfernen Sie die Regel, die den Zugriff auf Port 22 ermöglicht.

[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

Verwandte Anforderungen: Foundations Benchmark v1.2.0/4.2, v4.0.1/1.3.1 CIS AWS PCI DSS

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config Regel: restricted-common-ports(Die erstellte Regel istrestricted-rdp)

Art des Zeitplans: Ausgelöste und periodische Änderung

Parameter: Keine

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 3389 für eingehenden Datenverkehr erlauben sollte. Durch das Entfernen der uneingeschränkten Konnektivität zu Remote-Konsolendiensten, z. B., wird das Risiko für einen Server verringert. RDP

Abhilfe

Um den Zugriff auf Port 3389 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe erlaubt, die einem zugeordnet ist. VPC Anweisungen finden Sie unter Sicherheitsgruppenregeln aktualisieren im VPCAmazon-Benutzerhandbuch. Nachdem Sie in der VPC Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten aus. Entfernen Sie die Regel, die den Zugriff auf Port 3389 ermöglicht.

[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 v4.0.1/1.4.4 PCI DSS

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Subnet

AWS Config -Regel: subnet-auto-assign-public-ip-disabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Zuweisung von öffentlichen Subnetzen IPs in Amazon Virtual Private Cloud (AmazonVPC) auf MapPublicIpOnLaunch FALSE eingestellt ist. Die Kontrolle ist erfolgreich, wenn das Flag auf FALSE gesetzt ist.

Alle Subnetze haben ein Attribut, das bestimmt, ob eine im Subnetz erstellte Netzwerkschnittstelle automatisch eine öffentliche IPv4 Adresse erhält. Instances, die in Subnetzen gestartet werden, in denen dieses Attribut aktiviert ist, haben ihrer primären Netzwerkschnittstelle eine öffentliche IP-Adresse zugewiesen.

Abhilfe

Informationen zur Konfiguration eines Subnetzes so, dass keine öffentlichen IP-Adressen zugewiesen werden, finden Sie unter Ändern des öffentlichen IPv4 Adressierungsattributs für Ihr Subnetz im VPCAmazon-Benutzerhandbuch. Deaktivieren Sie das Kontrollkästchen Automatische Zuweisung von öffentlichen IPv4 Adressen aktivieren.

[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

Verwandte Anforderungen: NIST .800-53.r5 CM-8 (1), v4.0.1/1.2.7 PCI DSS

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NetworkAcl

AWS Config -Regel: vpc-network-acl-unused-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob es in Ihrer Virtual Private Cloud (ACLs) ungenutzte Netzwerkzugriffskontrolllisten (NetzwerkVPC) gibt. Die Steuerung schlägt fehl, wenn ACL das Netzwerk keinem Subnetz zugeordnet ist. Das Steuerelement generiert keine Ergebnisse für ein unbenutztes StandardnetzwerkACL.

Das Steuerelement überprüft die Elementkonfiguration der Ressource AWS::EC2::NetworkAcl und bestimmt die Beziehungen des NetzwerksACL.

Wenn die einzige Beziehung die VPC des Netzwerks istACL, schlägt die Steuerung fehl.

Wenn andere Beziehungen aufgeführt sind, ist die Kontrolle erfolgreich.

Abhilfe

Anweisungen zum Löschen eines ungenutzten Netzwerks ACL finden Sie unter Löschen eines Netzwerks ACL im VPCAmazon-Benutzerhandbuch. Sie können das Standardnetzwerk ACL oder ein NetzwerkACL, das Subnetzen zugeordnet ist, nicht löschen.

[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-instance-multiple-eni-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine EC2 Instance mehrere Elastic Network Interfaces (ENIs) oder Elastic Fabric Adapter (EFAs) verwendet. Dieses Steuerelement ist erfolgreich, wenn ein einziger Netzwerkadapter verwendet wird. Das Steuerelement enthält eine optionale Parameterliste zur Identifizierung der zulässigen ParameterENIs. Diese Kontrolle schlägt auch fehl, wenn eine EC2 Instance, die zu einem EKS Amazon-Cluster gehört, mehr als eine verwendetENI. Wenn Ihre EC2 Instances mehrere ENIs als Teil eines EKS Amazon-Clusters benötigen, können Sie diese Kontrollergebnisse unterdrücken.

Mehrere Instances ENIs können zu doppelt vernetzten Instances führen, d. h. zu Instances mit mehreren Subnetzen. Dies kann die Komplexität der Netzwerksicherheit erhöhen und unbeabsichtigte Netzwerkpfade und Zugriffe zur Folge haben.

Abhilfe

Informationen zum Trennen einer Netzwerkschnittstelle von einer EC2 Instance finden Sie unter Trennen einer Netzwerkschnittstelle von einer Instance im EC2Amazon-Benutzerhandbuch.

[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Konfiguration von Sicherheitsgruppen

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-sg-open-only-to-authorized-ports

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`authorizedTcpPorts`	Liste der autorisierten TCP Ports	IntegerList (mindestens 1 Artikel und maximal 32 Artikel)	`1` auf `65535`	`[80,443]`
`authorizedUdpPorts`	Liste der autorisierten UDP Ports	IntegerList (mindestens 1 Artikel und maximal 32 Artikel)	`1` auf `65535`	Kein Standardwert

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe uneingeschränkten eingehenden Datenverkehr von nicht autorisierten Ports zulässt. Der Kontrollstatus wird wie folgt bestimmt:

Wenn Sie den Standardwert für verwendenauthorizedTcpPorts, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem anderen Port als den Ports 80 und 443 zulässt.
Wenn Sie benutzerdefinierte Werte für authorizedTcpPorts oder angeben, schlägt die Steuerung fehlauthorizedUdpPorts, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem nicht aufgelisteten Port zulässt.
Wenn kein Parameter verwendet wird, schlägt die Steuerung für jede Sicherheitsgruppe fehl, für die eine Regel für uneingeschränkten eingehenden Verkehr gilt.

Sicherheitsgruppen bieten eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu. AWS Sicherheitsgruppenregeln sollten dem Prinzip des Zugriffs mit den geringsten Rechten folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, denial-of-service Angriffe und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte der Port den uneingeschränkten Zugriff verweigern.

Abhilfe

Informationen zum Ändern einer Sicherheitsgruppe finden Sie unter Arbeiten mit Sicherheitsgruppen im VPCAmazon-Benutzerhandbuch.

[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Kategorie: Schützen > Eingeschränkter Netzwerkzugriff

Schweregrad: Kritisch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config Regel: restricted-common-ports(Die erstellte Regel istvpc-sg-restricted-common-ports)

Art des Zeitplans: Ausgelöste und periodische Änderung

Parameter: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (nicht anpassbar)

Diese Kontrolle prüft, ob uneingeschränkter eingehender Verkehr für eine EC2 Amazon-Sicherheitsgruppe über die angegebenen Ports, die als risikoreich gelten, zugänglich ist. Diese Kontrolle schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Datenverkehr von '0.0.0.0/0' oder ': :/0' zu diesen Ports zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, Angriffe und Datenverlust. denial-of-service Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf die folgenden Ports zulassen:

20, 21 () FTP
22 (SSH)
23 (Telnet)
25 () SMTP
10 (POP3)
135 (RPC)
143 (IMAP)
45 (CIFS)
143, 1434 () MSSQL
3000 (Go-, Node.js- und Ruby-Frameworks für die Webentwicklung)
3306 (meinSQL)
389 () RDP
4333 (ahsp)
5000 (Python-Frameworks für die Webentwicklung)
5432 (Postgresql)
5500 (1) fcp-addr-srvr
5601 (Armaturenbretter) OpenSearch
8080 (Proxy)
8088 (älterer HTTP Port)
8888 (alternativer HTTP Anschluss)
9200 oder 9300 () OpenSearch

Abhilfe

Informationen zum Löschen von Regeln aus einer Sicherheitsgruppe finden Sie unter Regeln aus einer Sicherheitsgruppe löschen im EC2Amazon-Benutzerhandbuch.

[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategorie: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

Schweregrad: Mittel

Art der Ressource: AWS::EC2::VPNConnection

AWS Config -Regel: vpc-vpn-2-tunnels-up

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Ein VPN Tunnel ist eine verschlüsselte Verbindung, über die Daten vom Kundennetzwerk zu oder von einer Verbindung AWS innerhalb einer AWS Site-to-Site VPN Verbindung übertragen werden können. Jede VPN Verbindung umfasst zwei VPN Tunnel, die Sie gleichzeitig für hohe Verfügbarkeit verwenden können. Es ist wichtig, sicherzustellen, dass beide VPN Tunnel für eine VPN Verbindung verfügbar sind, um eine sichere und hochverfügbare Verbindung zwischen einem AWS VPC und Ihrem Remote-Netzwerk zu gewährleisten.

Diese Steuerung überprüft, ob sich beide von bereitgestellten VPN Tunnel im UP-Status AWS Site-to-Site VPN befinden. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im DOWN Status befinden.

Abhilfe

Informationen zum Ändern der VPN Tunneloptionen finden Sie unter Site-to-SiteVPNTunneloptionen ändern im AWS Site-to-Site VPN Benutzerhandbuch.

[EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, (21), (1), NIST.800-53.r5 AC-4 (21), (5), NIST.800-53.r5 CA-9 v4.0.1/1.3.1 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS

Kategorie: Schützen > Sichere Netzwerkkonfiguration

Schweregrad: Mittel

Art der Ressource: AWS::EC2::NetworkAcl

AWS Config -Regel: nacl-no-unrestricted-ssh-rdp

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine Netzwerkzugriffskontrollliste (NetzwerkACL) uneingeschränkten Zugriff auf die TCP Standardports für SSH RDP /Ingress-Verkehr ermöglicht. Die Steuerung schlägt fehl, wenn der ACL eingehende Netzwerkeintrag einen CIDR Quellblock von '0.0.0.0/0' oder ': :/0' für die Ports 22 oder 3389 zulässt. TCP Das Steuerelement generiert keine Ergebnisse für ein Standardnetzwerk. ACL

Der Zugriff auf die Verwaltungsports des Remoteservers, wie Port 22 (SSH) und Port 3389 (RDP), sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ressourcen innerhalb Ihres Servers ermöglichen kann. VPC

Abhilfe

Informationen zum Bearbeiten von Regeln für ACL den Netzwerkverkehr finden Sie unter Arbeiten mit dem Netzwerk ACLs im VPCAmazon-Benutzerhandbuch.

[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

Wichtig

RETIREDFROMSPECIFICSTANDARDS— Security Hub hat diese Kontrolle am 20. September 2023 aus dem AWS Foundational Security Best Practices-Standard und der NIST SP 800-53 Rev. 5 entfernt. Dieses Steuerelement ist immer noch Teil des Service-Managed Standard:. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2 Instances oder an eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2 Steuerelemente wie EC2 .2, EC2 .13, EC2 .14, EC2 .18 und .19 verwenden, um Ihre Sicherheitsgruppen zu überwachen. EC2

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

AWS::EC2::NetworkInterfaceRessourcentyp:, AWS::EC2::SecurityGroup

AWS Config -Regel: ec2-security-group-attached-to-eni-periodic

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Kontrolle prüft, ob Sicherheitsgruppen an Amazon Elastic Compute Cloud (AmazonEC2) -Instances oder an eine elastic network interface angehängt sind. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keiner EC2 Amazon-Instance oder einer elastic network interface zugeordnet ist.

Abhilfe

Informationen zum Erstellen, Zuweisen und Löschen von Sicherheitsgruppen finden Sie im EC2 Amazon-Benutzerhandbuch unter Sicherheitsgruppen.

[EC2.23] Amazon EC2 Transit Gateways sollte Anfragen für Dateianhänge nicht automatisch akzeptieren VPC

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::TransitGateway

AWS Config -Regel: ec2-transit-gateway-auto-vpc-attach-disabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob EC2 Transit-Gateways gemeinsam genutzte VPC Anlagen automatisch akzeptieren. Diese Steuerung schlägt bei einem Transit-Gateway fehl, das automatisch Anfragen für gemeinsam genutzte VPC Anlagen akzeptiert.

Durch die Aktivierung wird ein Transit-Gateway so AutoAcceptSharedAttachments konfiguriert, dass es automatisch alle kontoübergreifenden VPC Anhangsanforderungen akzeptiert, ohne dass die Anfrage oder das Konto, von dem der Anhang stammt, überprüft werden. Um den bewährten Methoden der Autorisierung und Authentifizierung zu folgen, wurde empfohlen, diese Funktion zu deaktivieren, um sicherzustellen, dass nur autorisierte VPC Anhangsanfragen akzeptiert werden.

Abhilfe

Informationen zum Ändern eines Transit-Gateways finden Sie unter Modifizieren eines Transit-Gateways im Amazon VPC Developer Guide.

[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

Verwandte Anforderungen: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::EC2::Instance

AWS Config -Regel: ec2-paravirtual-instance-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob der Virtualisierungstyp einer EC2 Instanz paravirtuell ist. Die Steuerung schlägt fehl, wenn virtualizationType für die EC2 Instanz auf eingestellt ist. paravirtual

Linux Amazon Machine Images (AMIs) verwenden eine von zwei Arten der Virtualisierung: paravirtuelle (PV) oder virtuelle Hardware-Maschine (). HVM Die Hauptunterschiede zwischen PV und HVM AMIs bestehen in der Art und Weise, wie sie booten und ob sie spezielle Hardwareerweiterungen (CPU, Netzwerk und Speicher) nutzen können, um eine bessere Leistung zu erzielen.

In der Vergangenheit hatten HVM PV-Gäste in vielen Fällen eine bessere Leistung als Gäste, aber aufgrund der Verbesserungen bei der HVM Virtualisierung und der Verfügbarkeit von PV-Treibern für HVM AMIs ist dies nicht mehr der Fall. Weitere Informationen finden Sie unter AMILinux-Virtualisierungstypen im EC2 Amazon-Benutzerhandbuch.

Abhilfe

Informationen zum Aktualisieren einer EC2 Instance auf einen neuen Instance-Typ finden Sie unter Ändern des Instance-Typs im EC2Amazon-Benutzerhandbuch.

[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Hoch

Art der Ressource: AWS::EC2::LaunchTemplate

AWS Config -Regel: ec2-launch-template-public-ip-disabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob EC2 Amazon-Startvorlagen so konfiguriert sind, dass Netzwerkschnittstellen beim Start öffentliche IP-Adressen zugewiesen werden. Die Steuerung schlägt fehl, wenn eine EC2 Startvorlage so konfiguriert ist, dass sie Netzwerkschnittstellen eine öffentliche IP-Adresse zuweist, oder wenn mindestens eine Netzwerkschnittstelle mit einer öffentlichen IP-Adresse vorhanden ist.

Eine öffentliche IP-Adresse ist eine Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die mit diesen Netzwerkschnittstellen verknüpften Ressourcen möglicherweise vom Internet aus erreichbar. EC2Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Workloads ermöglichen kann.

Abhilfe

Informationen zum Aktualisieren einer EC2 Startvorlage finden Sie unter Ändern der Standardeinstellungen für die Netzwerkschnittstelle im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.

[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden

Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Volume

AWS Config Regel: ebs-resources-protected-by-backup-plan

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`backupVaultLockCheck`	Das Steuerelement ermittelt, `PASSED` ob der Parameter auf gesetzt ist `true` und die Ressource AWS Backup Vault Lock verwendet.	Boolesch	`true` oder `false`	Kein Standardwert

Diese Kontrolle bewertet, ob ein EBS Amazon-Volume im in-use Bundesstaat durch einen Backup-Plan abgedeckt ist. Die Kontrolle schlägt fehl, wenn ein EBS Volume nicht durch einen Backup-Plan abgedeckt ist. Wenn Sie den backupVaultLockCheck Parameter auf gleich setzentrue, ist die Steuerung nur erfolgreich, wenn das EBS Volume in einem AWS Backup gesperrten Tresor gesichert ist.

Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Wenn Sie EBS Amazon-Volumes in einen Backup-Plan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.

Abhilfe

Informationen zum Hinzufügen eines EBS Amazon-Volumes zu einem AWS Backup Backup-Plan finden Sie unter Zuweisen von Ressourcen zu einem Backup-Plan im AWS Backup Entwicklerhandbuch.

[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Kennzeichnung

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::TransitGatewayAttachment

AWS Config Regel: tagged-ec2-transitgatewayattachment (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Diese Kontrolle prüft, ob ein Amazon EC2 Transit Gateway-Anhang Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn der Transit-Gateway-Anhang keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Transit-Gateway-Anhang mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Transit-Gateway-Anhang finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::TransitGatewayRouteTable

AWS Config Regel: tagged-ec2-transitgatewayroutetable (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine Amazon EC2 Transit Gateway-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die Transit-Gateway-Routentabelle keine Tag-Schlüssel enthält oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Transit-Gateway-Routentabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Transit-Gateway-Routentabelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NetworkInterface

AWS Config Regel: tagged-ec2-networkinterface (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Netzwerkschnittstelle Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Netzwerkschnittstelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerkschnittstelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Netzwerkschnittstelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.36] EC2 Kunden-Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::CustomerGateway

AWS Config Regel: tagged-ec2-customergateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Kunden-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das Kunden-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Kunden-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Kunden-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::EIP

AWS Config Regel: tagged-ec2-eip (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine Amazon EC2 Elastic IP-Adresse Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Elastic IP-Adresse keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Elastic IP-Adresse mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Elastic IP-Adresse finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.38] EC2 Instances sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Instance

AWS Config Regel: tagged-ec2-instance (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Instanz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Instance finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.39] EC2 Internet-Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::InternetGateway

AWS Config Regel: tagged-ec2-internetgateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Internet-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Internet-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Internet-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Internet-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.40] EC2 NAT Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NatGateway

AWS Config Regel: tagged-ec2-natgateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein Amazon EC2 Network Address Translation (NAT) -Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das NAT Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das NAT Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 NAT Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::NetworkAcl

AWS Config Regel: tagged-ec2-networkacl (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Diese Kontrolle prüft, ob eine EC2 Amazon-Netzwerkzugriffskontrollliste (NetzwerkACL) Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn ACL das Netzwerk keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ACL ist, und schlägt fehl, wenn das Netzwerk mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Netzwerk ACL finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::RouteTable

AWS Config Regel: tagged-ec2-routetable (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Routing-Tabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn die Routing-Tabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Routing-Tabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Routing-Tabelle finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config Regel: tagged-ec2-securitygroup (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine EC2 Amazon-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einer EC2 Sicherheitsgruppe finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.44] EC2 Subnetze sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Subnet

AWS Config Regel: tagged-ec2-subnet (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Subnetz Tags mit den spezifischen Schlüsseln hat, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn das Subnetz keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Subnetz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Subnetz finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.45] EC2 Volumes sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::Volume

AWS Config Regel: tagged-ec2-subnet (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 Amazon-Volume Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Volume keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Volume mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Band finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.46] Amazon VPCs sollte markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPC

AWS Config Regel: tagged-ec2-vpc (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine Amazon Virtual Private Cloud (AmazonVPC) Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn Amazon VPC keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sindrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden VPC ist, und schlägt fehl, wenn Amazon mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem VPC finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.47] Amazon VPC Endpoint Services sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPCEndpointService

AWS Config Regel: tagged-ec2-vpcendpointservice (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein VPC Amazon-Endpunkt-Service Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der Endpunkt-Service keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Endpunktdienst mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem VPC Amazon-Endpunkt-Service finden Sie unter Tags verwalten im Abschnitt Konfiguration eines Endpunktdienstes des AWS PrivateLink Handbuchs.

[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::FlowLog

AWS Config Regel: tagged-ec2-flowlog (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein VPC Amazon-Flow-Protokoll Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das Flow-Protokoll keine Tag-Schlüssel enthält oder wenn es nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Flow-Protokoll mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem VPC Amazon-Flow-Protokoll finden Sie unter Ein Flow-Protokoll taggen im VPCAmazon-Benutzerhandbuch.

[EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPCPeeringConnection

AWS Config Regel: tagged-ec2-vpcpeeringconnection (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob eine VPC Amazon-Peering-Verbindung Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Die Steuerung schlägt fehl, wenn die Peering-Verbindung keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. requiredTagKeys Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Peering-Verbindung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einer VPC Amazon-Peering-Verbindung finden Sie unter Taggen Ihrer EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.50] EC2 VPN Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::VPNGateway

AWS Config Regel: tagged-ec2-vpngateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	Kein Standardwert

Dieses Steuerelement prüft, ob ein EC2 VPN Amazon-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn das VPN Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das VPN Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 VPN Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.51] Auf EC2 VPN Client-Endpunkten sollte die Protokollierung der Client-Verbindungen aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST NIST PCI DSS

Kategorie: Identifizieren > Protokollierung

Schweregrad: Niedrig

Ressourcentyp: AWS::EC2::ClientVpnEndpoint

AWS Config Regel: ec2-client-vpn-connection-log-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob für einen AWS Client VPN Endpunkt die Client-Verbindungsprotokollierung aktiviert ist. Die Steuerung schlägt fehl, wenn für den Endpunkt die Client-Verbindungsprotokollierung nicht aktiviert ist.

Mithilfe von VPN Client-Endpunkten können Remoteclients eine sichere Verbindung zu Ressourcen in einer Virtual Private Cloud (VPC) herstellen. AWS Verbindungsprotokolle ermöglichen es Ihnen, Benutzeraktivitäten auf dem VPN Endpunkt zu verfolgen, und bieten Transparenz. Wenn Sie die Verbindungsprotokollierung aktivieren, können Sie den Namen eines Protokolldatenstroms in der Protokollgruppe angeben. Wenn Sie keinen Protokollstream angeben, erstellt der VPN Client-Dienst einen für Sie.

Abhilfe

Informationen zum Aktivieren der Verbindungsprotokollierung finden Sie unter Aktivieren der Verbindungsprotokollierung für einen vorhandenen VPN Client-Endpunkt im AWS Client VPN Administratorhandbuch.

[EC2.52] EC2 Transit-Gateways sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::TransitGateway

AWS Config Regel: tagged-ec2-transitgateway (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`requiredTagKeys`	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Tags, die die AWS Anforderungen erfüllen	`No default value`

Diese Steuerung prüft, ob ein Amazon EC2 Transit Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Kontrolle schlägt fehl, wenn das Transit-Gateway keine Tag-Schlüssel hat oder wenn es nicht über alle im Parameter angegebenen Schlüssel verfügtrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Transit-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Anmerkung

Abhilfe

Informationen zum Hinzufügen von Tags zu einem EC2 Transit-Gateway finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2Amazon-Benutzerhandbuch.

[EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.2, v4.0.1/1.3.1 PCI DSS

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-sg-port-restriction-check

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`ipType`	Die IP-Version	String	Nicht anpassbar	`IPv4`
`restrictPorts`	Liste der Ports, die eingehenden Datenverkehr ablehnen sollen	IntegerList	Nicht anpassbar	`22,3389`

Diese Kontrolle prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugriff von 0.0.0.0/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 auf Port 22 oder 3389 zulässt.

Sicherheitsgruppen ermöglichen eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu Ressourcen. AWS Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten eingehenden Zugriff auf die Verwaltungsports des Remoteservers zulässt, z. B. SSH auf Port 22 und RDP auf Port 3389, wobei entweder die Protokolle TDP (6), (17) oder UDP (-1) verwendet werden. ALL Der öffentliche Zugriff auf diese Ports erhöht die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.

Abhilfe

Informationen zum Aktualisieren einer EC2 Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter Sicherheitsgruppenregeln aktualisieren im EC2Amazon-Benutzerhandbuch. Nachdem Sie in der EC2 Amazon-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten aus. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.

[EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.3, v4.0.1/1.3.1 PCI DSS

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

Schweregrad: Hoch

Art der Ressource: AWS::EC2::SecurityGroup

AWS Config -Regel: vpc-sg-port-restriction-check

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`ipType`	Die IP-Version	String	Nicht anpassbar	`IPv6`
`restrictPorts`	Liste der Ports, die eingehenden Datenverkehr ablehnen sollen	IntegerList	Nicht anpassbar	`22,3389`

Diese Steuerung prüft, ob eine EC2 Amazon-Sicherheitsgruppe den Zugriff von: :/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von: :/0 zu Port 22 oder 3389 zulässt.

Abhilfe

[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECR API

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ecr.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügt ECRAPI. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hat ECRAPI. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstnutzer können privat auf Dienste zugreifen, die von ihren eigenen VPC oder ihren lokalen Standorten PrivateLink aus bereitgestellt werden, ohne öffentliche IPs Dienste nutzen zu müssen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ecr.dkr`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Docker Registry verfügt. Das Steuerelement schlägt fehl, wenn VPC es keinen VPC Schnittstellenendpunkt für Docker Registry gibt. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ssm`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Systems Manager. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Systems Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ssm-contacts`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS Systems Manager Incident Manager-Kontakte verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ssm-incidents`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS Systems Manager Incident Manager verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Systems Manager Incident Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.61] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Quick Setup konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ssm-quicksetup`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS Systems Manager Quick Setup verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Systems Manager Quick Setup hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.62] VPCs sollte mit einem Schnittstellenendpunkt für CloudWatch Logs konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`logs`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon CloudWatch Logs verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für CloudWatch Logs hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.63] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Manager-Nachrichten konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ssmmessages`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS Systems Manager Nachrichten verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Systems Manager Manager-Nachrichten hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.64] VPCs sollte mit einem Schnittstellenendpunkt für den Message Delivery Service konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ec2messages`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Message Delivery Service verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für den Message Delivery Service hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.65] VPCs sollte mit einem Schnittstellenendpunkt für Secrets Manager konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`secretsmanager`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Secrets Manager. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Secrets Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.66] VPCs sollte mit einem Schnittstellenendpunkt für API Gateway konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`execute-api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon API Gateway verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für API Gateway hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.67] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`monitoring`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügt CloudWatch. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hat CloudWatch. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.68] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS KMS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`kms`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS KMS. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt AWS KMS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.69] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SQS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sqs`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtSQS. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hatSQS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.70] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für STS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sts`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS STS. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibtSTS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.71] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SNS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sns`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtSNS. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hatSNS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.72] VPCs sollte mit einem Schnittstellenendpunkt für S3 konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`s3`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon S3 verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für S3 hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.73] VPCs sollte mit einem Schnittstellenendpunkt für Lambda konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`lambda`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Lambda. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für Lambda hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.74] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ecs`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtECS. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hatECS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.75] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Load Balancing konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`elasticloadbalancing`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Elastic Load Balancing verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Elastic Load Balancing hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.76] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudFormation

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`cloudformation`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CloudFormation. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CloudFormation. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.77] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EventBridge

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`events`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügt EventBridge. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hat EventBridge. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.78] VPCs sollte mit einem Schnittstellenendpunkt für EC2 Auto Scaling konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`autoscaling`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon EC2 Auto Scaling verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für EC2 Auto Scaling hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.79] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker KI konfiguriert werden API

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sagemaker.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon SageMaker AI verfügtAPI. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für EC2 SageMaker KI hatAPI. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.80] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Feature Store Runtime konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sagemaker.featurestore-runtime`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon SageMaker AI Feature Store Runtime verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für EC2 SageMaker AI Feature Store Runtime hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.81] VPCs sollte mit einem Schnittstellen-Endpunkt für den SageMaker AI Metrics Service konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sagemaker.metrics`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon SageMaker AI Metrics Service verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für EC2 SageMaker AI Metrics Service hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.82] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Runtime konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sagemaker.runtime`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon SageMaker AI Runtime verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für EC2 SageMaker AI Runtime hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.83] VPCs sollte mit einem Schnittstellenendpunkt für SageMaker AI Runtime konfiguriert werden für FIPS

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sagemaker.runtime-fips`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon SageMaker AI Runtime für verfügtFIPS. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für SageMaker AI Runtime für gibtFIPS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.84] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker KI-Notebooks konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`aws.sagemaker.region.notebook`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für ein Amazon SageMaker AI-Notebook verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für ein SageMaker KI-Notebook hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.85] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`aws.sagemaker.region.studio`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon SageMaker AI Studio verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für SageMaker AI Studio hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.86] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Glue

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`glue`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Glue. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt AWS Glue. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.87] VPCs sollte mit einem Schnittstellenendpunkt für Kinesis Data Streams konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`kinesis-streams`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Kinesis Data Streams verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Kinesis Data Streams hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.88] VPCs sollte mit einem Schnittstellenendpunkt für Transfer Family for konfiguriert werden SFTP

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`transfer`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt AWS Transfer Family für verfügtSFTP. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Transfer Family for hatSFTP. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.89] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudTrail

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`cloudtrail`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CloudTrail. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CloudTrail. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.90] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für RDS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`rds`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtRDS. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hatRDS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.91] VPCs sollte mit einem Schnittstellen-Endpunkt für ECS den Agenten konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ecs-agent`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon ECS Agent verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für ECS Agent hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.92] VPCs sollte mit einem Schnittstellenendpunkt für ECS Telemetrie konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ecs-agent`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon ECS Telemetry verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für ECS Telemetrie hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`guardduty-data`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügt GuardDuty. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hat GuardDuty. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`email-smtp`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtSES. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hatSES. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.95] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`email-smtp`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtEFS. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hatEFS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.96] VPCs sollte mit einem Schnittstellenendpunkt für Athena konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`athena`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Athena verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Athena hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.97] VPCs sollte mit einem Schnittstellenendpunkt für Firehose konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`kinesis-firehose`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Data Firehose verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für Firehose hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.98] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`states`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Step Functions. Die Steuerung schlägt fehl, wenn die VPC keinen VPC Schnittstellenendpunkt für Step Functions hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.99] VPCs sollte mit einem Schnittstellenendpunkt für Storage Gateway konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`storagegateway`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Storage Gateway. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Storage Gateway hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.100] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein MWAA

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`airflow.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Managed Workflows for Apache Airflow (AmazonMWAA) verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon hatMWAA. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`airflow.api-fips`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Managed Workflows for Apache Airflow (AmazonMWAA) für FIPS verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon MWAA for hatFIPS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.102] VPCs sollte mit einem Schnittstellenendpunkt für die MWAA Amazon-Umgebung konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`airflow.env`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für eine Amazon Managed Workflows for Apache Airflow (AmazonMWAA) -Umgebung verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für eine MWAA Amazon-Umgebung hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.103] VPCs sollte mit einem Schnittstellenendpunkt für die MWAA FIPS Amazon-Umgebung konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`airflow.env-fips`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für eine Amazon Managed Workflows for Apache Airflow (AmazonMWAA) FIPS -Umgebung verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für eine MWAA FIPS Amazon-Umgebung hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.104] VPCs sollte mit einem Schnittstellenendpunkt für den MWAA Amazon-Betreiber konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`airflow.ops`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für einen Betreiber von Amazon Managed Workflows for Apache Airflow (AmazonMWAA) verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für einen MWAA Amazon-Betreiber hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.105] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DataSync

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`datasync`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS DataSync. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt DataSync. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.106] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodePipeline

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codepipeline`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CodePipeline. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CodePipeline. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.107] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EKS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`eks`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtEKS. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hatEKS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.108] VPCs sollte mit einem Schnittstellen-Endpunkt für EBS Direct konfiguriert werden APIs

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`ebs`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon EBS Direct verfügtAPIs. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für EBS Direct hatAPIs. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.109] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`git-codecommit`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CodeCommit. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CodeCommit. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.110] VPCs sollte mit einem Schnittstellenendpunkt für X-Ray konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`xray`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS X-Ray. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für X-Ray hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.111] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeBuild

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codebuild`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CodeBuild. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CodeBuild. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.112] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Config

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`config`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Config. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt AWS Config. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`rds-data`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon RDS Data verfügtAPI. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für RDS Daten hatAPI. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.114] VPCs sollte mit einem Schnittstellenendpunkt für Service Catalog konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`servicecatalog`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Service Catalog. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Service Catalog hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.115] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein EMR

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`elasticmapreduce`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtEMR. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon hatEMR. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.116] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codecommit`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`appmesh-envoy-management`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS App Mesh. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für App Mesh hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`elasticbeanstalk-health`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Elastic Beanstalk. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Elastic Beanstalk hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.119] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Private CA

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`acm-pca`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Private CA. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt AWS Private CA. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`elasticache`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügt ElastiCache. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für hat ElastiCache. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codeartifact.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CodeArtifact API. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CodeArtifact API. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.122] VPCs sollte mit einem Schnittstellen-Endpunkt für CodeArtifact Repositorys konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codeartifact.repositories`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS CodeArtifact Repositorys verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für CodeArtifact Repositorys hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`redshift`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Redshift verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Redshift hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codedeploy`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CodeDeploy. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CodeDeploy. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.125] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Managed Service for Prometheus konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`aps-workspaces`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Managed Service for Prometheus verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Managed Service for Prometheus hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.126] VPCs sollte mit einem Schnittstellenendpunkt für Application Auto Scaling konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`application-autoscaling`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS Application Auto Scaling verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Application Auto Scaling hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.127] VPCs sollte mit einem Schnittstellenendpunkt für S3 Multi-Region Access Points konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`com.amazonaws.s3-global.accesspoint`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon S3 Multiregion Access Points verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC Schnittstellenendpunkt für S3-Access Points mit mehreren Regionen hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`managedblockchain-query`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Managed Blockchain (AMB) Query verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für AMB Query hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`managedblockchain.bitcoin.mainnet`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Managed Blockchain (AMB) Access Bitcoin verfügt. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für AMB Access Bitcoin hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`managedblockchain.bitcoin.testnet`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Managed Blockchain (AMB) Bitcoin Testnet verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für AMB Bitcoin Testnet hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.131] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`elasticfilesystem-fips`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.132] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Backup

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`backup`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Backup. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt AWS Backup. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.133] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DMS

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`dms`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS DMS. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibtDMS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.134] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codedeploy-commands-secure`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`appstream.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügt AppStream API. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon hat AppStream API. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.136] VPCs sollte mit einem Schnittstellenendpunkt für Amazon AppStream Streaming konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`appstream.streaming`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon AppStream Streaming verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon AppStream Streaming hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`elasticbeanstalk`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.138] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS CodeConnections API

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codeconnections.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CodeConnections API. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt CodeConnections API. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.139] VPCs sollte mit einem Schnittstellenendpunkt für AWS CodeStar Connections konfiguriert werden API

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`codestar-connections.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS CodeStar Verbindungen verfügtAPI. Das Steuerelement schlägt fehl, wenn VPC es keinen VPC Schnittstellenendpunkt für AWS CodeStar Connections gibtAPI. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.140] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift Data konfiguriert sein API

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`redshift-data`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Redshift Data API verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Redshift Data API hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`textract`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Textract verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Textract hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`cassandra`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Keyspaces (für Apache Cassandra) verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Keyspaces hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.143] VPCs sollte mit einem Schnittstellen-Endpunkt konfiguriert werden für AWS MGN

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`mgn`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS Application Migration Service (AWS MGN) verfügt. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt AWS MGN. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.144] VPCs sollte mit einem Schnittstellenendpunkt für Image Builder konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`imagebuilder`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon EC2 Image Builder verfügt. Das Steuerelement schlägt fehl, wenn VPC das keinen VPC Schnittstellenendpunkt für Image Builder hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.145] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`sync-states`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS Step Functions Image Builder verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC Schnittstellenendpunkt für Step Functions hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`autoscaling-plans`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Auto Scaling. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für gibt AWS Auto Scaling. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`bedrock-runtime`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Bedrock verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Bedrock hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`batch`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Batch. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für Batch hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.149] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein EKS

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`eks-auth`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`comprehend`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Comprehend verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Comprehend hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`apprunner`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS App Runner. Das Steuerelement schlägt fehl, wenn VPC es keinen VPC Schnittstellenendpunkt für App Runner gibt. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.152] VPCs sollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`emr-serverless`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon EMR Serverless verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für EMR Serverless hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.153] VPCs sollte mit einem Schnittstellenendpunkt für Lake Formation konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`lakeformation`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Lake Formation. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Lake Formation hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.154] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein FSx

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`fsx`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon verfügtFSx. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon hatFSx. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`fsx`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für EMR Amazon verfügtEKS. Die Steuerung schlägt fehl, wenn VPC kein VPC Schnittstellenendpunkt für Amazon EMR aktiviert istEKS. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`iot.data`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS IoT Core Data verfügt. Das Steuerelement schlägt fehl, wenn es VPC keinen VPC Schnittstellenendpunkt für AWS IoT Core Data gibt. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`iot.credentials`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS IoT Core Credentials verfügt. Das Steuerelement schlägt fehl, wenn VPC es keinen VPC Schnittstellenendpunkt für AWS IoT Core Credentials gibt. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`iot.fleethub.api`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für AWS IoT Core Fleet Hub verfügt. Die Steuerung schlägt fehl, wenn VPC sie keinen VPC Schnittstellenendpunkt für AWS IoT Core Fleet Hub hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.159] VPCs sollte mit einem Schnittstellen-Endpunkt für Elastic Disaster Recovery konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`drs`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Elastic Disaster Recovery. Das Steuerelement schlägt fehl, wenn VPC es keinen VPC Schnittstellenendpunkt für Elastic Disaster Recovery gibt. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`cloudhsmv2`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS CloudHSM. Die Steuerung schlägt fehl, wenn sie VPC keinen VPC Schnittstellenendpunkt für Cloud hatHSM. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`rekognition`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Rekognition verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Rekognition hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.162] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Managed Service for Prometheus konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`aps`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.163] VPCs sollte mit einem Schnittstellen-Endpunkt für Elastic Inference Runtime konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`elastic-inference.runtime`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Elastic Inference Runtime verfügt. Das Steuerelement schlägt fehl, wenn VPC das keinen VPC Schnittstellenendpunkt für Elastic Inference Runtime hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`synthetics`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`bedrock`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`securityhub`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt verfügt AWS Security Hub. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Security Hub hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.167] VPCs sollte mit einem Schnittstellenendpunkt für DynamoDB konfiguriert werden

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`dynamodb`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon DynamoDB verfügt. Das Steuerelement schlägt fehl, wenn VPC das keinen VPC Schnittstellenendpunkt für DynamoDB hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.168] VPCs sollte mit einem Schnittstellenendpunkt für Access Analyzer konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`access-analyzer`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für IAM Access Analyzer verfügt. Das Steuerelement schlägt fehl, wenn VPC es keinen VPC Schnittstellenendpunkt für IAM Access Analyzer gibt. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.168] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Transcribe Medical konfiguriert sein

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Ressourcentyp:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config -Regel: vpc-endpoint-enabled

Art des Zeitplans: Periodisch

Parameter:

Parameter	Erforderlich	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
`serviceNames`	Erforderlich	Der Name des Dienstes, den das Steuerelement auswertet	String	Nicht anpassbar	`transcribe`
`vpcIds`	Optional	Kommagetrennte Liste von Amazon VPC IDs für VPC Endgeräte. Falls angegeben, schlägt die Steuerung fehl, wenn die im `serviceName` Parameter angegebenen Dienste keinen dieser Endpunkte haben. VPC	StringList	Passen Sie es mit einem oder mehreren an VPC IDs	Kein Standardwert

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete virtuelle private Cloud (VPC) über einen VPC Schnittstellenendpunkt für Amazon Transcribe Medical verfügt. Die Steuerung schlägt fehl, wenn der VPC keinen VPC Schnittstellenendpunkt für Amazon Transcribe Medical hat. Diese Kontrolle bewertet Ressourcen in einem einzigen Konto.

Abhilfe

Informationen zur Konfiguration eines VPC Endpunkts finden Sie im Handbuch unter Zugreifen und AWS-Service Verwenden eines VPC Schnittstellenendpunkts.AWS PrivateLink

[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden

Verwandte Anforderungen: PCI DSS v4.0.1/2.2.6

Kategorie: Schützen > Netzwerksicherheit

Schweregrad: Niedrig

Art der Ressource: AWS::EC2::LaunchTemplate

AWS Config -Regel: ec2-launch-template-imdsv2-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine EC2 Amazon-Startvorlage mit Instance Metadata Service Version 2 (IMDSv2) konfiguriert ist. Die Steuerung schlägt fehl, wenn sie auf gesetzt HttpTokens istoptional.

Das Ausführen von Ressourcen auf unterstützten Softwareversionen gewährleistet optimale Leistung, Sicherheit und Zugriff auf die neuesten Funktionen. Regelmäßige Updates schützen vor Sicherheitslücken und sorgen so für ein stabiles und effizientes Benutzererlebnis.

Abhilfe

Informationen IMDSv2 zur Anforderung einer EC2 Startvorlage finden Sie unter Konfiguration der Optionen für den Instance-Metadaten-Service im EC2Amazon-Benutzerhandbuch.

Bei [EC2.171] EC2 VPN Verbindungen sollte die Protokollierung aktiviert sein

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/5.3, v4.0.1/10.4.2 PCI DSS

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::EC2::VPNConnection

AWS Config -Regel: ec2-vpn-connection-logging-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob Amazon CloudWatch Logs für eine AWS Site-to-Site VPN Verbindung für beide Tunnel aktiviert ist. Die Kontrolle schlägt fehl, wenn für eine Site-to-Site VPN Verbindung CloudWatch Logs nicht für beide Tunnel aktiviert sind.

AWS Site-to-Site VPNProtokolle bieten Ihnen einen tieferen Einblick in Ihre Site-to-Site VPN Bereitstellungen. Mit dieser Funktion haben Sie Zugriff auf Site-to-Site VPN Verbindungsprotokolle, die Einzelheiten zur Einrichtung eines IP-Security-Tunnels (IPsec), zu Verhandlungen über den Austausch von Internetschlüsseln (IKE) und zu Protokollmeldungen mit Dead-Peer-Erkennung (DPD) enthalten. Site-to-SiteVPNProtokolle können in CloudWatch Logs veröffentlicht werden. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN Verbindungen zuzugreifen und diese zu analysieren.

Abhilfe

Informationen zum Aktivieren der Tunnelprotokollierung für eine EC2 VPN Verbindung finden Sie unter AWS Site-to-Site VPNProtokolle im AWS Site-to-Site VPNBenutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon DynamoDB-Steuerelemente

Amazon EC2 Auto Scaling-Steuerelemente