Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Security Hub CSPM-Steuerelemente für Amazon EC2
<a name="ec2-controls"></a>

Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Elastic Compute Cloud (Amazon EC2). Die Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).

## [EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein
<a name="ec2-1"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Kritisch 

**Ressourcentyp:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon Elastic Block Store-Snapshots nicht öffentlich sind. Die Kontrolle schlägt fehl, wenn Amazon EBS-Snapshots von jedermann wiederhergestellt werden können.

EBS-Snapshots werden verwendet, um die Daten auf Ihren EBS-Volumes zu einem bestimmten Zeitpunkt auf Amazon S3 zu sichern. Sie können die Snapshots verwenden, um frühere Status von EBS-Volumes wiederherzustellen. Es ist selten akzeptabel, einen Snapshot mit der Öffentlichkeit zu teilen. Typischerweise wurde die Entscheidung, eine Momentaufnahme öffentlich zu teilen, irrtümlich oder ohne vollständiges Verständnis der Auswirkungen getroffen. Diese Überprüfung trägt dazu bei, dass alle diese Freigaben vollständig geplant und beabsichtigt waren.

### Abhilfe
<a name="ec2-1-remediation"></a>

Informationen dazu, wie Sie einen öffentlichen EBS-Snapshot privat machen können, finden [Sie unter Einen Snapshot teilen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) im *Amazon EC2 EC2-Benutzerhandbuch*. **Wählen Sie für **Aktionen, Berechtigungen ändern die** Option Privat aus.**

## [EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen
<a name="ec2-2"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, CIS AWS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch 

**Ressourcentyp:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die Standardsicherheitsgruppe einer VPC eingehenden oder ausgehenden Datenverkehr zulässt. Die Steuerung schlägt fehl, wenn die Sicherheitsgruppe eingehenden oder ausgehenden Datenverkehr zulässt.

Die Regeln für die [Standardsicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) erlauben den gesamten ausgehenden und eingehenden Datenverkehr von Netzwerkschnittstellen (und den zugehörigen Instances), die derselben Sicherheitsgruppe zugewiesen sind. Wir empfehlen, die Standardsicherheitsgruppe nicht zu verwenden. Da die Standardsicherheitsgruppe nicht gelöscht werden kann, sollten Sie die Standardeinstellung für Sicherheitsgruppenregeln ändern, um eingehenden und ausgehenden Datenverkehr einzuschränken. Dies verhindert unbeabsichtigten Datenverkehr, wenn die Standardsicherheitsgruppe versehentlich für Ressourcen wie EC2-Instances konfiguriert ist.

### Abhilfe
<a name="ec2-2-remediation"></a>

Um dieses Problem zu beheben, erstellen Sie zunächst neue Sicherheitsgruppen mit den geringsten Rechten. Anweisungen finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) im *Amazon VPC-Benutzerhandbuch*. Weisen Sie dann die neuen Sicherheitsgruppen Ihren EC2-Instances zu. Anweisungen finden Sie unter [Ändern der Sicherheitsgruppe einer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) im *Amazon EC2 EC2-Benutzerhandbuch*.

Nachdem Sie Ihren Ressourcen die neuen Sicherheitsgruppen zugewiesen haben, entfernen Sie alle Regeln für eingehenden und ausgehenden Datenverkehr aus den Standardsicherheitsgruppen. Anweisungen finden [Sie unter Sicherheitsgruppenregeln konfigurieren](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden
<a name="ec2-3"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 SC-7 (6)

**Kategorie: Schützen > Datenschutz > Verschlüsselung von** data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::Volume`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die EBS-Volumes, die sich im angefügten Zustand befinden, verschlüsselt sind. Um diese Prüfung zu bestehen, müssen EBS-Volumes in Betrieb und verschlüsselt sein. Wenn das EBS-Volume nicht angefügt ist, unterliegt es nicht dieser Prüfung.

Um eine zusätzliche Sicherheitsebene Ihrer sensiblen Daten in EBS-Volumes zu gewährleisten, sollten Sie die EBS-Verschlüsselung im Ruhezustand aktivieren. Die Amazon EBS-Verschlüsselung bietet eine einfache Verschlüsselungslösung für Ihre EBS-Ressourcen, ohne dass Sie eine eigene Infrastruktur für die Schlüsselverwaltung erstellen, verwalten und sichern müssen. Bei der Erstellung verschlüsselter Volumes und Snapshots werden KMS-Schlüssel verwendet.

Weitere Informationen zur Amazon EBS-Verschlüsselung finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-3-remediation"></a>

Es gibt keine direkte Möglichkeit, ein vorhandenes unverschlüsseltes Volume oder einen Snapshot zu verschlüsseln. Sie können ein neues Volume oder einen neuen Snapshot nur beim Erstellen verschlüsseln.

Wenn Sie die Verschlüsselung standardmäßig aktiviert haben, verschlüsselt Amazon EBS das resultierende neue Volume oder den Snapshot mit Ihrem Standardschlüssel für die Amazon EBS-Verschlüsselung. Auch wenn Sie die standardmäßige Verschlüsselung nicht aktiviert haben, können Sie die Verschlüsselung beim Erstellen eines einzelnen Volumes oder Snapshots aktivieren. In beiden Fällen können Sie den Standardschlüssel für die Amazon EBS-Verschlüsselung überschreiben und einen symmetrischen, vom Kunden verwalteten Schlüssel wählen.

Weitere Informationen finden Sie unter [Erstellen eines Amazon EBS-Volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) und [Kopieren eines Amazon EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
<a name="ec2-4"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  Anzahl der Tage, an denen sich die EC2-Instance im gestoppten Zustand befinden darf, bevor ein fehlgeschlagenes Ergebnis generiert wird.  |  Ganzzahl  |  `1` auf `365`  |  `30`  | 

Diese Kontrolle prüft, ob eine Amazon EC2 EC2-Instance länger als die zulässige Anzahl von Tagen angehalten wurde. Die Kontrolle schlägt fehl, wenn eine EC2-Instance länger als die maximal zulässige Zeitspanne angehalten wird. Sofern Sie keinen benutzerdefinierten Parameterwert für den maximal zulässigen Zeitraum angeben, verwendet Security Hub CSPM einen Standardwert von 30 Tagen.

Wenn eine EC2-Instance über einen längeren Zeitraum nicht ausgeführt wurde, stellt dies ein Sicherheitsrisiko dar, da die Instance nicht aktiv gewartet (analysiert, gepatcht, aktualisiert) wird. Wenn sie später gestartet wird, kann der Mangel an ordnungsgemäßer Wartung zu unerwarteten Problemen in Ihrer AWS Umgebung führen. Um eine EC2-Instance über einen längeren Zeitraum sicher inaktiv zu halten, starten Sie sie regelmäßig zu Wartungszwecken und beenden Sie sie dann nach der Wartung. Idealerweise sollte dies ein automatisierter Prozess sein.

### Abhilfe
<a name="ec2-4-remediation"></a>

Informationen zum Beenden einer inaktiven EC2-Instance finden Sie unter [Terminate an Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
<a name="ec2-6"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26),, NIST.800-53.R5 SI-7 (8), NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.3.1 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-171.r2 3.13.1, PCI DSS v3.2.1 1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6 AWS 

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPC`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**
+ `trafficType`: `REJECT` (nicht anpassbar)

Dieses Steuerelement prüft, ob Amazon VPC Flow Logs gefunden und aktiviert wurden. VPCs Der Datenverkehrstyp ist auf `Reject` eingestellt. Die Steuerung schlägt fehl, wenn VPC Flow Logs VPCs in Ihrem Konto nicht aktiviert sind.

**Anmerkung**  
Dieses Steuerelement überprüft nicht, ob Amazon VPC Flow Logs über Amazon Security Lake für aktiviert sind. AWS-Konto

Mit der Funktion VPC Flow Logs können Sie Informationen über den IP-Adressverkehr zu und von Netzwerkschnittstellen in Ihrer VPC erfassen. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die zugehörigen Daten in CloudWatch Logs anzeigen und abrufen. Um die Kosten zu senken, können Sie Ihre Flow-Logs auch an Amazon S3 senden. 

Security Hub CSPM empfiehlt, die Flussprotokollierung für zurückgewiesene Pakete für zu aktivieren. VPCs Flow-Logs bieten Einblick in den Netzwerkverkehr, der die VPC durchquert, und können anomalen Datenverkehr erkennen oder Einblicke in Sicherheitsworkflows geben.

Standardmäßig enthält der Datensatz Werte für die verschiedenen Komponenten des IP-Adressflusses, einschließlich Quelle, Ziel und Protokoll. Weitere Informationen und Beschreibungen der Protokollfelder finden Sie unter [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) im *Amazon VPC-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-6-remediation"></a>

Informationen zum Erstellen eines VPC-Flow-Protokolls finden Sie unter [Erstellen eines Flow-Protokolls](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) im *Amazon VPC-Benutzerhandbuch*. Nachdem Sie die Amazon VPC-Konsole geöffnet haben, wählen Sie **Your VPCs**. Wählen Sie für **Filter** **Ablehnen** oder **Alle**.

## [EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein
<a name="ec2-7"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 SI-7 (6) AWS NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::::Account`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob die Verschlüsselung auf Kontoebene standardmäßig für Amazon Elastic Block Store (Amazon EBS) -Volumes aktiviert ist. Die Kontrolle schlägt fehl, wenn die Verschlüsselung auf Kontoebene für EBS-Volumes nicht aktiviert ist. 

Wenn die Verschlüsselung für Ihr Konto aktiviert ist, werden Amazon EBS-Volumes und Snapshot-Kopien im Ruhezustand verschlüsselt. Dies bietet eine zusätzliche Schutzebene für Ihre Daten. Weitere Informationen finden Sie unter [Standardmäßige Verschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) im *Amazon-EC2-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-7-remediation"></a>

Informationen zur Konfiguration der Standardverschlüsselung für Amazon EBS-Volumes finden Sie [unter Standardverschlüsselung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2
<a name="ec2-8"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

**Kategorie**: Schützen > Netzwerksicherheit

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Ihre EC2-Instance-Metadatenversion mit Version 2 (IMDSv2) für den Instanz-Metadatendienst konfiguriert ist. Das Steuerelement `HttpTokens` ist erfolgreich, wenn es auf Erforderlich für IMDSv2 gesetzt ist. Das Steuerelement schlägt fehl, wenn auf gesetzt `HttpTokens` ist`optional`.

Sie verwenden Instanz-Metadaten, um die laufende Instanz zu konfigurieren oder zu verwalten. Das IMDS bietet Zugriff auf temporäre, häufig wechselnde Anmeldeinformationen. Mit diesen Anmeldeinformationen entfällt die Notwendigkeit, vertrauliche Anmeldeinformationen manuell oder programmgesteuert fest zu codieren oder vertrauliche Anmeldeinformationen an Instanzen zu verteilen. Das IMDS ist lokal an jede EC2-Instance angehängt. Es läuft auf einer speziellen „Link Local“ -IP-Adresse 169.254.169.254. Auf diese IP-Adresse kann nur mit Software zugegriffen werden, die auf der Instance ausgeführt wird.

Version 2 des IMDS bietet neue Schutzmaßnahmen für die folgenden Arten von Sicherheitslücken. Diese Sicherheitslücken könnten genutzt werden, um zu versuchen, auf das IMDS zuzugreifen.
+ Öffnen Sie die Firewalls für Websites und Anwendungen
+ Öffnen Sie Reverse-Proxys
+ Sicherheitslücken bei serverseitiger Anforderungsfälschung (SSRF)
+ Offene Layer-3-Firewalls und Network Address Translation (NAT)

Security Hub CSPM empfiehlt, dass Sie Ihre EC2-Instances mit konfigurieren. IMDSv2

### Abhilfe
<a name="ec2-8-remediation"></a>

Informationen zur Konfiguration von EC2-Instances mit IMDSv2 finden Sie unter [Recommended path to IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) required im *Amazon EC2-Benutzerhandbuch*.

## [EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4
<a name="ec2-9"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob EC2-Instances eine öffentliche IP-Adresse haben. Die Steuerung schlägt fehl, wenn das `publicIp` Feld im EC2-Instance-Konfigurationselement vorhanden ist. Dieses Steuerelement gilt nur für IPv4 Adressen. 

Eine öffentliche IPv4-Adresse ist eine IP-Adresse, die über das Internet erreichbar ist. Wenn Sie Ihre Instance mit einer öffentlichen IP-Adresse starten, ist Ihre EC2-Instance über das Internet erreichbar. Eine private IPv4-Adresse ist eine IP-Adresse, die über das Internet nicht erreichbar ist. Sie können private IPv4-Adressen für die Kommunikation zwischen EC2-Instances in derselben VPC oder in Ihrem verbundenen privaten Netzwerk verwenden.

IPv6 Adressen sind weltweit einzigartig und daher über das Internet erreichbar. Standardmäßig ist das IPv6 Adressierungsattribut jedoch in allen Subnetzen auf False gesetzt. Weitere Informationen IPv6 finden Sie unter [IP-Adressierung in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) im *Amazon VPC-Benutzerhandbuch*.

Wenn Sie einen legitimen Anwendungsfall für die Verwaltung von EC2-Instances mit öffentlichen IP-Adressen haben, können Sie die Ergebnisse dieser Kontrolle unterdrücken. Weitere Informationen zu Frontend-Architekturoptionen finden Sie im [AWS Architektur-Blog](https://aws.amazon.com/blogs/architecture/) oder in der [AWS Videoserie This Is My Architecture-Serie](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).

### Abhilfe
<a name="ec2-9-remediation"></a>

Verwenden Sie eine nicht standardmäßige VPC, damit Ihrer Instance standardmäßig keine öffentliche IP-Adresse zugewiesen wird.

Wenn Sie eine EC2-Instance in einer Standard-VPC VPC, wird ihr eine öffentliche IP-Adresse zugewiesen. Wenn Sie eine EC2-Instance in einer nicht standardmäßigen VPC starten, bestimmt die Subnetzkonfiguration, ob sie eine öffentliche IP-Adresse erhält. Das Subnetz verfügt über ein Attribut, das bestimmt, ob neue EC2-Instances im Subnetz eine öffentliche IP-Adresse aus dem öffentlichen Adresspool erhalten. IPv4 

Sie können eine automatisch zugewiesene öffentliche IP-Adresse von Ihrer EC2-Instance trennen. Weitere Informationen finden Sie unter [Öffentliche IPv4 Adressen und externe DNS-Hostnamen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden
<a name="ec2-10"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.1

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Privater API-Zugriff

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPC`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:** 
+ `serviceName`: `ec2` (nicht anpassbar)

Dieses Steuerelement prüft, ob für jede VPC ein Service-Endpunkt für Amazon EC2 erstellt wurde. Die Steuerung schlägt fehl, wenn für eine VPC kein VPC-Endpunkt für den Amazon EC2-Service erstellt wurde. 

Diese Kontrolle bewertet Ressourcen in einem einzigen Konto. Es kann keine Ressourcen beschreiben, die sich außerhalb des Kontos befinden. Da AWS Config Security Hub CSPM keine kontoübergreifenden Prüfungen durchführt, werden Sie feststellen, VPCs dass die `FAILED` Ergebnisse für alle Konten gemeinsam genutzt werden. Security Hub CSPM empfiehlt, diese `FAILED` Ergebnisse zu unterdrücken.

Um die Sicherheitslage Ihrer VPC zu verbessern, können Sie Amazon EC2 so konfigurieren, dass es einen VPC-Schnittstellen-Endpunkt verwendet. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie privat auf Amazon EC2 EC2-API-Operationen zugreifen können. Es schränkt den gesamten Netzwerkverkehr zwischen Ihrer VPC und Amazon EC2 auf das Amazon-Netzwerk ein. Da Endpoints nur in derselben Region unterstützt werden, können Sie keinen Endpunkt zwischen einer VPC und einem Service in einer anderen Region erstellen. Dies verhindert unbeabsichtigte Amazon EC2 EC2-API-Aufrufe in andere Regionen. 

*Weitere Informationen zum Erstellen von VPC-Endpunkten für Amazon EC2 finden Sie unter [Amazon EC2 und Interface-VPC-Endpoints](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) im Amazon EC2 EC2-Benutzerhandbuch.*

### Abhilfe
<a name="ec2-10-remediation"></a>

*Informationen zum Erstellen eines Schnittstellenendpunkts zu Amazon EC2 über die Amazon VPC-Konsole finden Sie unter [Erstellen eines VPC-Endpunkts im Handbuch](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws).AWS PrivateLink * **Wählen Sie für den **Servicenamen com.amazonaws** aus. *region*.ec2.**

Sie können auch eine Endpunktrichtlinie erstellen und an Ihren VPC-Endpunkt anhängen, um den Zugriff auf die Amazon EC2 EC2-API zu kontrollieren. Anweisungen zum Erstellen einer VPC-Endpunktrichtlinie finden Sie unter [Erstellen einer Endpunktrichtlinie](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden
<a name="ec2-12"></a>

**Verwandte Anforderungen:** PCI DSS v3.2.1/2.4, NIST.800-53.R5 CM-8 (1)

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::EIP`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Elastic IP (EIP) -Adressen, die einer VPC zugewiesen sind, an EC2-Instances oder verwendete elastische Netzwerkschnittstellen () angehängt sind. ENIs

Ein fehlgeschlagener Befund deutet darauf hin, dass Sie EC2 möglicherweise nicht genutzt haben. EIPs

Auf diese Weise können Sie ein genaues Inventar der EIPs in Ihrer Karteninhaberdatenumgebung (CDE) gespeicherten Daten verwalten.

### Abhilfe
<a name="ec2-12-remediation"></a>

Informationen zur Freigabe einer ungenutzten EIP finden Sie unter [Eine Elastic IP-Adresse veröffentlichen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
<a name="ec2-13"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v1.2.0/4.1,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, PCI DSS v4.0.1/1.3.1 1.3.1

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**Art des Zeitplans:** Ausgelöste und periodische Änderung

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 zu Port 22 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 22 für eingehenden Datenverkehr erlauben sollte. Durch die Unterbindung der uneingeschränkten Konnektivität mit Remote-Konsolenservices wie SSH wird die Risikoaussetzung eines Servers reduziert.

### Abhilfe
<a name="ec2-13-remediation"></a>

Um den Zugang zu Port 22 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe, die einer VPC zugeordnet ist, erlaubt. Anweisungen finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*. Nachdem Sie in der Amazon EC2 EC2-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 22 ermöglicht.

## [EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen
<a name="ec2-14"></a>

**Verwandte Anforderungen**: CIS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1 AWS 

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(Die erstellte Regel ist`restricted-rdp`)

**Art des Zeitplans:** Ausgelöste und periodische Änderung

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 zu Port 3389 zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Unsere Empfehlung ist, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Port 3389 für eingehenden Datenverkehr erlauben sollte. Durch die Unterbindung der uneingeschränkten Konnektivität mit Remote-Konsolenservices wie RDP wird die Risikoaussetzung eines Servers reduziert.

### Abhilfe
<a name="ec2-14-remediation"></a>

Um den Zugriff auf Port 3389 zu verhindern, entfernen Sie die Regel, die diesen Zugriff für jede Sicherheitsgruppe, die einer VPC zugeordnet ist, erlaubt. Anweisungen finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) im *Amazon VPC-Benutzerhandbuch*. Nachdem Sie in der Amazon VPC-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 3389 ermöglicht.

## [EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
<a name="ec2-15"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4

**Kategorie: Schützen > Netzwerksicherheit**

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::Subnet`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob ein Amazon Virtual Private Cloud (Amazon VPC) -Subnetz so konfiguriert ist, dass es automatisch öffentliche IP-Adressen zuweist. Die Steuerung schlägt fehl, wenn das Subnetz so konfiguriert ist, dass es automatisch öffentliche IPv4 Adressen oder Adressen zuweist. IPv6 

Subnetze verfügen über Attribute, die bestimmen, ob Netzwerkschnittstellen automatisch öffentliche Adressen IPv4 erhalten. IPv6 Für IPv4 ist dieses Attribut für Standard-Subnetze und `TRUE` für nicht standardmäßige Subnetze auf gesetzt (mit einer Ausnahme `FALSE` für nicht standardmäßige Subnetze, die mit dem EC2 Launch Instance Wizard erstellt wurden, wo es auf gesetzt ist). `TRUE` Für IPv6 ist dieses Attribut standardmäßig auf für alle Subnetze gesetzt`FALSE`. Wenn diese Attribute aktiviert sind, erhalten Instances, die im Subnetz gestartet werden, automatisch die entsprechenden IP-Adressen (IPv4 oder IPv6) auf ihrer primären Netzwerkschnittstelle.

### Abhilfe
<a name="ec2-15-remediation"></a>

Informationen zur Konfiguration eines Subnetzes, sodass keine öffentlichen IP-Adressen zugewiesen werden, finden Sie unter [Ändern der IP-Adressierungsattribute Ihres Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
<a name="ec2-16"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CM-8 (1), NIST.800-171.R2 3.4.7, PCI DSS v4.0.1/1.2.7

**Kategorie**: Schützen > Netzwerksicherheit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NetworkAcl`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob es in Ihrer Virtual Private Cloud (VPC ACLs) ungenutzte Netzwerkzugriffskontrolllisten (Netzwerk) gibt. Die Steuerung schlägt fehl, wenn die Netzwerk-ACL keinem Subnetz zugeordnet ist. Das Steuerelement generiert keine Ergebnisse für eine ungenutzte Standard-Netzwerk-ACL.

Das Steuerelement überprüft die Elementkonfiguration der Ressource `AWS::EC2::NetworkAcl` und bestimmt die Beziehungen der Netzwerk-ACL.

Wenn die einzige Beziehung die VPC der Netzwerk-ACL ist, schlägt die Steuerung fehl.

Wenn andere Beziehungen aufgeführt sind, ist die Kontrolle erfolgreich.

### Abhilfe
<a name="ec2-16-remediation"></a>

Anweisungen zum Löschen einer ungenutzten Netzwerk-ACL finden Sie unter [Löschen einer Netzwerk-ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) im *Amazon VPC-Benutzerhandbuch*. Sie können die Standard-Netzwerk-ACL oder eine ACL, die Subnetzen zugeordnet ist, nicht löschen.

## [EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs
<a name="ec2-17"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4 (21)

**Kategorie:** Schützen > Netzwerksicherheit

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine EC2-Instance mehrere Elastic Network Interfaces (ENIs) oder Elastic Fabric Adapters (EFAs) verwendet. Dieses Steuerelement ist erfolgreich, wenn ein einziger Netzwerkadapter verwendet wird. Das Steuerelement enthält eine optionale Parameterliste zur Identifizierung der zulässigen ENIs. Diese Kontrolle schlägt auch fehl, wenn eine EC2-Instance, die zu einem Amazon EKS-Cluster gehört, mehr als eine ENI verwendet. Wenn Ihre EC2-Instances mehrere ENIs als Teil eines Amazon EKS-Clusters benötigen, können Sie diese Kontrollergebnisse unterdrücken.

Mehrere ENIs können zu doppelt vernetzten Instances führen, d. h. zu Instances mit mehreren Subnetzen. Dies kann die Komplexität der Netzwerksicherheit erhöhen und unbeabsichtigte Netzwerkpfade und Zugriffe zur Folge haben.

### Abhilfe
<a name="ec2-17-remediation"></a>

Informationen zum Trennen einer Netzwerkschnittstelle von einer EC2-Instance finden Sie unter [Trennen einer Netzwerkschnittstelle von einer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen
<a name="ec2-18"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Konfiguration der Sicherheitsgruppe

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  Liste der autorisierten TCP-Ports  |  IntegerList (mindestens 1 Artikel und maximal 32 Artikel)  |  `1` auf `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  Liste der autorisierten UDP-Ports  |  IntegerList (mindestens 1 Artikel und maximal 32 Artikel)  |  `1` auf `65535`  |  Kein Standardwert  | 

Diese Kontrolle prüft, ob eine Amazon EC2-Sicherheitsgruppe uneingeschränkten eingehenden Datenverkehr von nicht autorisierten Ports zulässt. Der Kontrollstatus wird wie folgt bestimmt:
+ Wenn Sie den Standardwert für verwenden`authorizedTcpPorts`, schlägt die Steuerung fehl, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem anderen Port als den Ports 80 und 443 zulässt.
+ Wenn Sie benutzerdefinierte Werte für `authorizedTcpPorts` oder angeben, schlägt die Steuerung fehl`authorizedUdpPorts`, wenn die Sicherheitsgruppe uneingeschränkten eingehenden Verkehr von einem nicht aufgelisteten Port zulässt.

Sicherheitsgruppen bieten eine statusabhängige Filterung von eingehendem und ausgehendem Netzwerkverkehr zu. AWS Sicherheitsgruppenregeln sollten dem Prinzip des Zugriffs mit den geringsten Rechten folgen. Uneingeschränkter Zugriff (IP-Adresse mit dem Suffix /0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, denial-of-service Angriffe und Datenverlust. Sofern ein Port nicht ausdrücklich zugelassen ist, sollte der Port den uneingeschränkten Zugriff verweigern.

### Abhilfe
<a name="ec2-18-remediation"></a>

Informationen zum Ändern einer Sicherheitsgruppe finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen
<a name="ec2-19"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.20, NIST.800-171.r2 3.13.1

**Kategorie**: Schützen > Eingeschränkter Netzwerkzugriff

**Schweregrad:** Kritisch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(Die erstellte Regel ist`vpc-sg-restricted-common-ports`)

**Art des Zeitplans:** Ausgelöste und periodische Änderung

**Parameter:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (nicht anpassbar)

Diese Kontrolle prüft, ob uneingeschränkter eingehender Verkehr für eine Amazon EC2-Sicherheitsgruppe für die angegebenen Ports, die als risikoreich gelten, zugänglich ist. Diese Kontrolle schlägt fehl, wenn eine der Regeln in einer Sicherheitsgruppe eingehenden Datenverkehr von '0.0.0.0/0' oder ': :/0' zu diesen Ports zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Uneingeschränkter Zugriff (0.0.0.0/0) erhöht die Wahrscheinlichkeit bösartiger Aktivitäten wie Hacking, Angriffe und Datenverlust. denial-of-service Keine Sicherheitsgruppe sollte uneingeschränkten Zugriff auf die folgenden Ports zulassen:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 () POP3
+ 135 (PRO STÜCK)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433, 1434 (MSSQL)
+ 3000 (Go-, Node.js- und Ruby-Frameworks für die Webentwicklung)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (Python-Frameworks für die Webentwicklung)
+ 5432 (Postgresql)
+ 5500 (1) fcp-addr-srvr 
+ 5601 (Armaturenbretter) OpenSearch 
+ 8080 (Proxy)
+ 8088 (älterer HTTP-Port)
+ 8888 (alternativer HTTP-Port)
+ 9200 oder 9300 () OpenSearch

### Abhilfe
<a name="ec2-19-remediation"></a>

Informationen zum Löschen von Regeln aus einer Sicherheitsgruppe finden [Sie unter Regeln aus einer Sicherheitsgruppe löschen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein
<a name="ec2-20"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5), NIST.800-171.R2 3.1.13, NIST.800-171.R2 3.1.20

**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::EC2::VPNConnection`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Ein VPN-Tunnel ist eine verschlüsselte Verbindung, über die Daten vom Kundennetzwerk zu oder aus AWS einer AWS Site-to-Site VPN-Verbindung übertragen werden können. Jede VPN-Verbindung umfasst zwei VPN-Tunnel, die Sie für eine hohe Verfügbarkeit gleichzeitig verwenden können. Es ist wichtig, sicherzustellen, dass beide VPN-Tunnel für eine VPN-Verbindung verfügbar sind, um eine sichere und hochverfügbare Verbindung zwischen einer AWS VPC und Ihrem Remote-Netzwerk zu bestätigen.

Diese Steuerung überprüft, ob sich beide von VPN bereitgestellten AWS Site-to-Site VPN-Tunnel im UP-Status befinden. Die Steuerung schlägt fehl, wenn sich einer oder beide Tunnel im Status DOWN befinden.

### Abhilfe
<a name="ec2-20-remediation"></a>

Informationen zum Ändern der VPN-Tunneloptionen finden Sie unter [Ändern der Site-to-Site VPN-Tunneloptionen](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) im AWS Site-to-Site VPN-Benutzerhandbuch.

## [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen
<a name="ec2-21"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1), (21), NIST.800-53.r5 CA-9 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1, PCI DSS v4.0.1/1.3.1

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::EC2::NetworkAcl`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Netzwerkzugriffskontrollliste (Network Access Control List, Netzwerk-ACL) uneingeschränkten Zugriff auf die Standard-TCP-Ports für SSH/RDP eingehenden Datenverkehr ermöglicht. Die Steuerung schlägt fehl, wenn der eingehende Netzwerk-ACL-Eintrag einen Quell-CIDR-Block von '0.0.0.0/0' oder ': :/0' für die TCP-Ports 22 oder 3389 zulässt. Das Steuerelement generiert keine Ergebnisse für eine Standard-Netzwerk-ACL.

Der Zugriff auf Remoteserveradministrationsports, wie Port 22 (SSH) und Port 3389 (RDP), sollte nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ressourcen innerhalb Ihrer VPC ermöglichen kann.

### Abhilfe
<a name="ec2-21-remediation"></a>

Informationen zum Bearbeiten von Netzwerk-ACL-Verkehrsregeln finden Sie unter [Arbeiten mit dem Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden
<a name="ec2-22"></a>

**Kategorie:** Identifizieren > Bestand

**Schweregrad:** Mittel 

**Ressourcentyp**:, `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**Art des Zeitplans:** Periodisch

**Parameter:** Keine

Diese Kontrolle prüft, ob Sicherheitsgruppen an Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder an eine elastic network interface angehängt sind. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keiner Amazon EC2 EC2-Instance oder einer elastic network interface zugeordnet ist.

**Wichtig**  
Am 20. September 2023 hat Security Hub CSPM diese Kontrolle aus den Standards AWS Foundation Security Best Practices und NIST SP 800-53 Revision 5 entfernt. Diese Kontrolle ist weiterhin Teil des Service-Managed-Standards. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2-Instances oder eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2-Steuerelemente wie EC2.2, EC2.13, EC2.14, EC2.18 und EC2.19 verwenden, um Ihre Sicherheitsgruppen zu überwachen.

### Abhilfe
<a name="ec2-22-remediation"></a>

Informationen zum Erstellen, Zuweisen und Löschen von Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre EC2-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren
<a name="ec2-23"></a>

**Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), (1**), NIST.800-53.R5 NIST.800-53.r5 CA-9 CM-2

**Kategorie:** Schutz > Sichere Netzwerkkonfiguration

**Schweregrad:** Hoch 

**Art der Ressource:** `AWS::EC2::TransitGateway`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob EC2-Transit-Gateways gemeinsam genutzte VPC-Anhänge automatisch akzeptieren. Diese Steuerung schlägt bei einem Transit-Gateway fehl, das automatisch gemeinsame VPC-Anhangsanforderungen akzeptiert.

Durch die Aktivierung wird ein Transit-Gateway so `AutoAcceptSharedAttachments` konfiguriert, dass es automatisch alle kontoübergreifenden VPC-Anhangsanforderungen akzeptiert, ohne die Anfrage oder das Konto, von dem der Anhang stammt, zu überprüfen. Um den bewährten Methoden der Autorisierung und Authentifizierung zu folgen, empfehlen wir, diese Funktion zu deaktivieren, um sicherzustellen, dass nur autorisierte VPC-Anhangsanfragen akzeptiert werden.

### Abhilfe
<a name="ec2-23-remediation"></a>

Informationen zum Ändern eines Transit-Gateways finden Sie unter [Modifizieren eines Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) im Amazon VPC Developer Guide.

## [EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
<a name="ec2-24"></a>

**Verwandte Anforderungen:** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

**Kategorie**: Identifizieren > Schwachstellen-, Patch- und Versionsverwaltung

**Schweregrad:** Mittel 

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob der Virtualisierungstyp einer EC2-Instance paravirtuell ist. Die Steuerung schlägt fehl, wenn der `virtualizationType` der EC2-Instance auf eingestellt ist. `paravirtual`

Linux Amazon Machine Images (AMIs) verwenden eine von zwei Arten der Virtualisierung: paravirtuelle (PV) oder virtuelle Hardware-Maschine (HVM). Die Hauptunterschiede zwischen PV und HVM AMIs bestehen in der Art und Weise, wie sie booten und ob sie spezielle Hardwareerweiterungen (CPU, Netzwerk und Speicher) für eine bessere Leistung nutzen können.

In der Vergangenheit hatten PV-Gäste in vielen Fällen eine bessere Leistung als HVM-Gäste, aber aufgrund der Verbesserungen bei der HVM-Virtualisierung und der Verfügbarkeit von PV-Treibern für HVM AMIs ist dies nicht mehr der Fall. Weitere Informationen finden Sie unter [Linux-AMI-Virtualisierungstypen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) im Amazon EC2 EC2-Benutzerhandbuch.

### Abhilfe
<a name="ec2-24-remediation"></a>

Informationen zum Aktualisieren einer EC2-Instance auf einen neuen Instance-Typ finden Sie unter [Ändern des Instance-Typs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
<a name="ec2-25"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch 

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob Amazon EC2 EC2-Startvorlagen so konfiguriert sind, dass Netzwerkschnittstellen beim Start öffentliche IP-Adressen zugewiesen werden. Die Steuerung schlägt fehl, wenn eine EC2-Startvorlage so konfiguriert ist, dass sie Netzwerkschnittstellen eine öffentliche IP-Adresse zuweist, oder wenn mindestens eine Netzwerkschnittstelle mit einer öffentlichen IP-Adresse vorhanden ist.

Eine öffentliche IP-Adresse ist eine, die über das Internet erreichbar ist. Wenn Sie Ihre Netzwerkschnittstellen mit einer öffentlichen IP-Adresse konfigurieren, sind die mit diesen Netzwerkschnittstellen verknüpften Ressourcen möglicherweise vom Internet aus erreichbar. EC2-Ressourcen sollten nicht öffentlich zugänglich sein, da dies einen unbeabsichtigten Zugriff auf Ihre Workloads ermöglichen kann.

### Abhilfe
<a name="ec2-25-remediation"></a>

Informationen zum Aktualisieren einer EC2-Startvorlage finden Sie unter [Ändern der Standardeinstellungen für die Netzwerkschnittstelle](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) im *Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch*.

## [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden
<a name="ec2-28"></a>

**Kategorie:** Wiederherstellung > Ausfallsicherheit > Backups aktiviert

**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Volume`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  Das Steuerelement ermittelt, `PASSED` ob der Parameter auf gesetzt ist `true` und die Ressource AWS Backup Vault Lock verwendet.  |  Boolesch  |  `true` oder `false`  |  Kein Standardwert  | 

Diese Kontrolle bewertet, ob ein Amazon EBS-Volume im `in-use` Status durch einen Backup-Plan abgedeckt ist. Die Kontrolle schlägt fehl, wenn ein EBS-Volume nicht durch einen Sicherungsplan abgedeckt ist. Wenn Sie den `backupVaultLockCheck` Parameter auf gleich setzen`true`, ist die Steuerung nur erfolgreich, wenn das EBS-Volume in einem AWS Backup gesperrten Tresor gesichert ist.

Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken auch die Widerstandsfähigkeit Ihrer Systeme. Wenn Sie Amazon EBS-Volumes in einen Backup-Plan aufnehmen, können Sie Ihre Daten vor unbeabsichtigtem Verlust oder Löschung schützen.

### Abhilfe
<a name="ec2-28-remediation"></a>

Informationen zum Hinzufügen eines Amazon EBS-Volumes zu einem AWS Backup Backup-Plan finden Sie unter [Zuweisen von Ressourcen zu einem Backup-Plan](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) im *AWS Backup Entwicklerhandbuch*.

## [EC2.33] EC2 Transit Gateway-Anhänge sollten markiert werden
<a name="ec2-33"></a>

**Kategorie: Identifizieren > Inventar** > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TransitGatewayAttachment`

**AWS Config Regel:** `tagged-ec2-transitgatewayattachment` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Transit-Gateway-Anhang Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn der Transit-Gateway-Anhang keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft die Steuerung nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Transit-Gateway-Anhang mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-33-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2 Transit Gateway-Anhang finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden
<a name="ec2-34"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config Regel:** `tagged-ec2-transitgatewayroutetable` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Transit-Gateway-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Transit-Gateway-Routentabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Transit-Gateway-Routentabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-34-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Transit-Gateway-Routentabelle finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.35] EC2-Netzwerkschnittstellen sollten markiert werden
<a name="ec2-35"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NetworkInterface`

**AWS Config Regel:** `tagged-ec2-networkinterface` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Netzwerkschnittstelle Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Netzwerkschnittstelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerkschnittstelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-35-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Netzwerkschnittstelle finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden
<a name="ec2-36"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::CustomerGateway`

**AWS Config Regel:** `tagged-ec2-customergateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Kunden-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn das Kunden-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Kunden-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-36-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Kunden-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden
<a name="ec2-37"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::EIP`

**AWS Config Regel:** `tagged-ec2-eip` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 Elastic IP-Adresse über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Elastic IP-Adresse keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Elastic IP-Adresse mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-37-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2 Elastic IP-Adresse finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.38] EC2-Instances sollten markiert werden
<a name="ec2-38"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Instance`

**AWS Config Regel:** `tagged-ec2-instance` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Instance Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Instance keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Instanz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-38-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Instance finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.39] EC2-Internet-Gateways sollten markiert werden
<a name="ec2-39"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::InternetGateway`

**AWS Config Regel:** `tagged-ec2-internetgateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Internet-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das Internet-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Internet-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-39-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Internet-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.40] EC2-NAT-Gateways sollten markiert werden
<a name="ec2-40"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NatGateway`

**AWS Config Regel:** `tagged-ec2-natgateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Gateway zur Netzwerkadressübersetzung (NAT) Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das NAT-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das NAT-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-40-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-NAT-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.41] Das EC2-Netzwerk sollte markiert werden ACLs
<a name="ec2-41"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::NetworkAcl`

**AWS Config Regel:** `tagged-ec2-networkacl` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Netzwerkzugriffskontrollliste (Network ACL) Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn die Netzwerk-ACL keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Netzwerk-ACL mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-41-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Netzwerk-ACL finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden
<a name="ec2-42"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::RouteTable`

**AWS Config Regel:** `tagged-ec2-routetable` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Routentabelle Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Routing-Tabelle keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Routing-Tabelle mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-42-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Routing-Tabelle finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.43] EC2-Sicherheitsgruppen sollten markiert werden
<a name="ec2-43"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config Regel:** `tagged-ec2-securitygroup` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Sicherheitsgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-43-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer EC2-Sicherheitsgruppe finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.44] EC2-Subnetze sollten markiert werden
<a name="ec2-44"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Subnet`

**AWS Config Regel:** `tagged-ec2-subnet` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Subnetz Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn das Subnetz keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hat. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Subnetz mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-44-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Subnetz finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.45] EC2-Volumes sollten markiert werden
<a name="ec2-45"></a>

**Kategorie: Identifizieren > Inventar** > Kennzeichnung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::Volume`

**AWS Config Regel:** `tagged-ec2-volume` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-Volume Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das Volume keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Volume mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-45-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Volume finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.46] Amazon VPCs sollte markiert werden
<a name="ec2-46"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPC`

**AWS Config Regel:** `tagged-ec2-vpc` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon Virtual Private Cloud (Amazon VPC) Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn die Amazon VPC keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Amazon VPC mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-46-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer VPC finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.47] Amazon VPC Endpoint Services sollten markiert werden
<a name="ec2-47"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPCEndpointService`

**AWS Config Regel:** `tagged-ec2-vpcendpointservice` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon VPC-Endpunktservice über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn der Endpunkt-Service keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Endpunktdienst mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-47-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon VPC-Endpunktservice finden Sie unter [Tags verwalten](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) im Abschnitt [Konfiguration eines Endpunktdienstes](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) des *AWS PrivateLink Handbuchs*.

## [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden
<a name="ec2-48"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::FlowLog`

**AWS Config Regel:** `tagged-ec2-flowlog` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon VPC-Flow-Log Tags mit den spezifischen Schlüsseln enthält, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das Flow-Protokoll keine Tag-Schlüssel enthält oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel enthält. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Flow-Protokoll mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-48-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon VPC-Flow-Protokoll finden Sie unter [Taggen eines Flow-Protokolls](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) im *Amazon VPC-Benutzerhandbuch*.

## [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden
<a name="ec2-49"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPCPeeringConnection`

**AWS Config Regel:** `tagged-ec2-vpcpeeringconnection` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine Amazon VPC-Peering-Verbindung Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Die Steuerung schlägt fehl, wenn die Peering-Verbindung keine Tag-Schlüssel hat oder wenn nicht alle im Parameter angegebenen Schlüssel vorhanden sind. `requiredTagKeys` Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Peering-Verbindung mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-49-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon VPC-Peering-Verbindung finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.50] EC2-VPN-Gateways sollten markiert werden
<a name="ec2-50"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::VPNGateway`

**AWS Config Regel:** `tagged-ec2-vpngateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-VPN-Gateway über Tags mit den spezifischen Schlüsseln verfügt, die im Parameter `requiredTagKeys` definiert sind. Die Steuerung schlägt fehl, wenn das VPN-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das VPN-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-50-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-VPN-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
<a name="ec2-51"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.12, NIST.800-171.12, NIST.800-171.12 R2 3.1.20, PCI DSS v4.0.1/10.2.1

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::ClientVpnEndpoint`

**AWS Config Regel: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob für einen AWS Client VPN Endpunkt die Client-Verbindungsprotokollierung aktiviert ist. Die Steuerung schlägt fehl, wenn für den Endpunkt die Client-Verbindungsprotokollierung nicht aktiviert ist.

Client-VPN-Endpunkte ermöglichen Remote-Clients die sichere Verbindung zu Ressourcen in einer Virtual Private Cloud (VPC) in. AWS Verbindungsprotokolle ermöglichen es Ihnen, Benutzeraktivitäten auf dem VPN-Endpunkt zu verfolgen und bieten Transparenz. Wenn Sie die Verbindungsprotokollierung aktivieren, können Sie den Namen eines Protokolldatenstroms in der Protokollgruppe angeben. Wenn Sie keinen Protokollstream angeben, erstellt der Client-VPN-Dienst einen für Sie.

### Abhilfe
<a name="ec2-51-remediation"></a>

Informationen zum Aktivieren der Verbindungsprotokollierung finden Sie unter [Aktivieren der Verbindungsprotokollierung für einen vorhandenen Client-VPN-Endpunkt](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) im *AWS Client VPN Administratorhandbuch*.

## [EC2.52] EC2-Transit-Gateways sollten markiert werden
<a name="ec2-52"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TransitGateway`

**AWS Config Regel:** `tagged-ec2-transitgateway` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.  | StringList (maximal 6 Elemente)  | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen.  |  No default value  | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Transit-Gateway Tags mit den spezifischen Schlüsseln hat, die im Parameter `requiredTagKeys` definiert sind. Die Kontrolle schlägt fehl, wenn das Transit-Gateway keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Transit-Gateway mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.

**Anmerkung**  
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*

### Abhilfe
<a name="ec2-52-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem EC2-Transit-Gateway finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen
<a name="ec2-53"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1 AWS 

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Die IP-Version  |  Zeichenfolge  |  Nicht anpassbar  |  `IPv4`  | 
|  `restrictPorts`  |  Liste der Ports, die eingehenden Datenverkehr ablehnen sollen  |  IntegerList  |  Nicht anpassbar  |  `22,3389`  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugriff von 0.0.0.0/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugriff von 0.0.0.0/0 zu Port 22 oder 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Ports für die Remoteserververwaltung zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389, wobei entweder die Protokolle TDP (6), UDP (17) oder ALL (-1) verwendet werden. Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.

### Abhilfe
<a name="ec2-53-remediation"></a>

Informationen zum Aktualisieren einer EC2-Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*. Nachdem Sie in der Amazon EC2 EC2-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.

## [EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen
<a name="ec2-54"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1 AWS 

**Kategorie**: Schützen > Sichere Netzwerkkonfiguration > Sicherheitsgruppenkonfiguration

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SecurityGroup`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  Die IP-Version  |  Zeichenfolge  |  Nicht anpassbar  |  `IPv6`  | 
|  `restrictPorts`  |  Liste der Ports, die eingehenden Datenverkehr ablehnen sollen  |  IntegerList  |  Nicht anpassbar  |  `22,3389`  | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Sicherheitsgruppe den Zugriff von: :/0 zu den Remote-Serververwaltungsports (Ports 22 und 3389) zulässt. Die Kontrolle schlägt fehl, wenn die Sicherheitsgruppe den Zugang von: :/0 zu Port 22 oder 3389 zulässt.

Sicherheitsgruppen bieten eine zustandsorientierte Filterung von ein- und ausgehendem Netzwerkdatenverkehr von bzw. an AWS -Ressourcen. Es wird empfohlen, dass keine Sicherheitsgruppe uneingeschränkten Zugriff auf Ports für die Remoteserververwaltung zulässt, z. B. SSH zu Port 22 und RDP zu Port 3389, wobei entweder die Protokolle TDP (6), UDP (17) oder ALL (-1) verwendet werden. Wenn der öffentliche Zugriff auf diese Ports zugelassen wird, erhöht sich die Angriffsfläche für Ressourcen und das Risiko einer Beeinträchtigung der Ressourcen.

### Abhilfe
<a name="ec2-54-remediation"></a>

Informationen zum Aktualisieren einer EC2-Sicherheitsgruppenregel, um eingehenden Datenverkehr zu den angegebenen Ports zu verhindern, finden Sie unter [Sicherheitsgruppenregeln aktualisieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*. Nachdem Sie in der Amazon EC2 EC2-Konsole eine Sicherheitsgruppe ausgewählt haben, wählen Sie **Aktionen, Regeln für eingehenden Datenverkehr bearbeiten**. Entfernen Sie die Regel, die den Zugriff auf Port 22 oder Port 3389 ermöglicht.

## [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
<a name="ec2-55"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ecr.api | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für die Amazon ECR-API verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für die ECR-API hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-55-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
<a name="ec2-56"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ecr.dkr | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für Docker Registry verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Docker Registry hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-56-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
<a name="ec2-57"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ssm | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt verfügt. AWS Systems Manager Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-57-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden
<a name="ec2-58"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ssm-contacts | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für AWS Systems Manager Incident Manager-Kontakte verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager Incident Manager-Kontakte hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-58-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden
<a name="ec2-60"></a>

**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4)

**Kategorie:** Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

**Schweregrad:** Mittel

**Ressourcentyp:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**Art des Zeitplans:** Periodisch

**Parameter:**


| Parameter | Erforderlich | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | Erforderlich  | Der Name des Dienstes, den das Steuerelement auswertet  | Zeichenfolge  | Nicht anpassbar  | ssm-incidents | 
| vpcIds  | Optional  | Durch Kommas getrennte Liste von Amazon VPC IDs für VPC-Endpoints. Falls angegeben, schlägt die Steuerung fehl, wenn die im serviceName Parameter angegebenen Dienste keinen dieser VPC-Endpunkte haben.  | StringList  | Mit einer oder mehreren VPC anpassen IDs  | Kein Standardwert  | 

Dieses Steuerelement prüft, ob eine von Ihnen verwaltete Virtual Private Cloud (VPC) über einen VPC-Schnittstellen-Endpunkt für AWS Systems Manager Incident Manager verfügt. Die Steuerung schlägt fehl, wenn die VPC keinen VPC-Schnittstellen-Endpunkt für Systems Manager Incident Manager hat. Dieses Steuerelement bewertet Ressourcen in einem einzigen Konto.

AWS PrivateLink ermöglicht es Kunden, auf AWS hochverfügbare und skalierbare Weise auf Dienste zuzugreifen, auf denen gehostet wird, während der gesamte Netzwerkverkehr im AWS Netzwerk bleibt. Dienstbenutzer können privat auf Dienste zugreifen, die PrivateLink von ihrer VPC oder von ihren lokalen Standorten aus betrieben werden, ohne öffentliche IPs Dienste zu nutzen und ohne dass der Datenverkehr über das Internet übertragen werden muss.

### Abhilfe
<a name="ec2-60-remediation"></a>

*Informationen zur Konfiguration eines VPC-Endpunkts finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch.*

## [EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2
<a name="ec2-170"></a>

**Verwandte Anforderungen:** PCI DSS v4.0.1/2.2.6

**Kategorie: Schützen > Netzwerksicherheit**

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Startvorlage mit Instance Metadata Service Version 2 (IMDSv2) konfiguriert ist. Die Steuerung schlägt fehl, wenn sie auf `optional` gesetzt `HttpTokens` ist.

Das Ausführen von Ressourcen auf unterstützten Softwareversionen gewährleistet optimale Leistung, Sicherheit und Zugriff auf die neuesten Funktionen. Regelmäßige Updates schützen vor Sicherheitslücken und sorgen so für ein stabiles und effizientes Benutzererlebnis.

### Abhilfe
<a name="ec2-170-remediation"></a>

Informationen zur Anforderung von IMDSv2 für eine EC2-Startvorlage finden [Sie unter Configure the Instance Metadata Service options](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
<a name="ec2-171"></a>

**Verwandte Anforderungen:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

**Kategorie:** Identifizieren > Protokollierung

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPNConnection`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob bei einer AWS Site-to-Site VPN-Verbindung Amazon CloudWatch Logs für beide Tunnel aktiviert ist. Die Kontrolle schlägt fehl, wenn bei einer Site-to-Site VPN-Verbindung CloudWatch Logs nicht für beide Tunnel aktiviert sind.

AWS Site-to-Site VPN-Protokolle bieten Ihnen einen tieferen Einblick in Ihre Site-to-Site VPN-Bereitstellungen. Mit dieser Funktion haben Sie Zugriff auf Site-to-Site VPN-Verbindungsprotokolle, die Einzelheiten zur Einrichtung eines IP-Security-Tunnels (IPsec), zu IKE-Verhandlungen (Internet Key Exchange) und zu DPD-Protokollnachrichten (Dead Peer Detection) enthalten. Site-to-Site VPN-Protokolle können in CloudWatch Logs veröffentlicht werden. Diese Funktion bietet Kunden eine einzige konsistente Möglichkeit, auf detaillierte Protokolle für all ihre Site-to-Site VPN-Verbindungen zuzugreifen und diese zu analysieren.

### Abhilfe
<a name="ec2-171-remediation"></a>

Informationen zur Aktivierung der Tunnelprotokollierung für eine EC2-VPN-Verbindung finden Sie unter [AWS Site-to-Site VPN-Protokolle](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) im *AWS Site-to-Site VPN-Benutzerhandbuch*.

## [EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren
<a name="ec2-172"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config Regel:** `ec2-vpc-bpa-internet-gateway-blocked` (benutzerdefinierte Security Hub CSPM-Regel)

**Zeitplantyp: Änderung wurde ausgelöst**

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  Zeichenkettenwert des VPC BPA-Optionsmodus.  |  Enum  |  `block-bidirectional`, `block-ingress`  |  Kein Standardwert  | 

Dieses Steuerelement prüft, ob die Amazon EC2 VPC Block Public Access (BPA) -Einstellungen so konfiguriert sind, dass der Internet-Gateway-Verkehr für den gesamten Amazon VPCs in der blockiert wird. AWS-Konto Die Steuerung schlägt fehl, wenn die VPC BPA-Einstellungen nicht so konfiguriert sind, dass sie den Internet-Gateway-Verkehr blockieren. Damit die Kontrolle erfolgreich ist, `InternetGatewayBlockMode` muss der VPC BPA auf oder gesetzt sein`block-bidirectional`. `block-ingress` Wenn der Parameter angegeben `vpcBpaInternetGatewayBlockMode` wird, wird die Steuerung nur erfolgreich ausgeführt, wenn der VPC BPA-Wert für `InternetGatewayBlockMode` mit dem Parameter übereinstimmt.

Wenn Sie die VPC-BPA-Einstellungen für Ihr Konto in einem konfigurieren, AWS-Region können Sie verhindern, dass Ressourcen in VPCs und Subnetzen, die Sie besitzen, in dieser Region über Internet-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr erreichen oder vom Internet aus erreicht werden. Wenn Sie bestimmte VPCs Subnetze benötigen, um auf das Internet zuzugreifen oder über das Internet erreichbar zu sein, können Sie diese ausschließen, indem Sie VPC-BPA-Ausschlüsse konfigurieren. Anweisungen zum Erstellen und Löschen von Ausschlüssen finden Sie unter [Ausnahmen erstellen und löschen](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) im *Amazon VPC-Benutzerhandbuch*.

### Abhilfe
<a name="ec2-172-remediation"></a>

Informationen zur Aktivierung von bidirektionalem BPA auf Kontoebene finden Sie unter [Bidirektionalen BPA-Modus für Ihr Konto aktivieren](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) im *Amazon* VPC-Benutzerhandbuch. Informationen zum Aktivieren von BPA nur für eingehenden Datenverkehr finden Sie unter [Ändern des VPC-BPA-Modus](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) auf Nur eingehenden Datenverkehr. Informationen zur Aktivierung von VPC BPA auf Organisationsebene finden Sie unter [Aktivieren von VPC BPA auf](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) Organisationsebene.

## [EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
<a name="ec2-173"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::SpotFleet`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Diese Steuerung prüft, ob eine Amazon EC2 Spot Fleet-Anfrage, die Startparameter spezifiziert, so konfiguriert ist, dass die Verschlüsselung für alle Amazon Elastic Block Store (Amazon EBS) -Volumes (Amazon EBS) aktiviert wird, die an EC2-Instances angehängt sind. Die Kontrolle schlägt fehl, wenn die Spot-Fleet-Anfrage Startparameter spezifiziert und die Verschlüsselung für ein oder mehrere in der Anfrage angegebene EBS-Volumes nicht aktiviert.

Für eine zusätzliche Sicherheitsebene sollten Sie die Verschlüsselung für Amazon EBS-Volumes aktivieren. Verschlüsselungsvorgänge finden dann auf den Servern statt, die Amazon EC2 EC2-Instances hosten, wodurch die Sicherheit sowohl der ruhenden Daten als auch der Daten während der Übertragung zwischen einer Instance und dem angeschlossenen EBS-Speicher gewährleistet wird. Die Amazon EBS-Verschlüsselung ist eine einfache Verschlüsselungslösung für EBS-Ressourcen, die mit Ihren EC2-Instances verknüpft sind. Mit der EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, verwalten und sichern. Die EBS-Verschlüsselung wird AWS KMS keys bei der Erstellung verschlüsselter Volumes verwendet.

**Hinweise**  
Dieses Steuerelement generiert keine Ergebnisse für Amazon EC2 Spot Fleet-Anfragen, die Startvorlagen verwenden. Es generiert auch keine Ergebnisse für Spot-Flotte-Anfragen, die nicht explizit einen Wert für den `encrypted` Parameter angeben.

### Abhilfe
<a name="ec2-173-remediation"></a>

Es gibt keine direkte Möglichkeit, ein vorhandenes, unverschlüsseltes Amazon EBS-Volume zu verschlüsseln. Sie können ein neues Volume nur verschlüsseln, wenn Sie es erstellen.

Wenn Sie jedoch die Verschlüsselung standardmäßig aktivieren, verschlüsselt Amazon EBS neue Volumes mithilfe Ihres Standardschlüssels für die EBS-Verschlüsselung. Wenn Sie die Verschlüsselung nicht standardmäßig aktivieren, können Sie die Verschlüsselung aktivieren, wenn Sie ein einzelnes Volume erstellen. In beiden Fällen können Sie den Standardschlüssel für die EBS-Verschlüsselung außer Kraft setzen und einen vom Kunden verwalteten AWS KMS key Schlüssel auswählen. Weitere Informationen zur EBS-Verschlüsselung finden Sie unter [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) im *Amazon EBS-Benutzerhandbuch.*

Informationen zum Erstellen einer Amazon EC2 Spot Fleet-Anfrage finden Sie unter [Create a Spot Fleet](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.

## [EC2.174] EC2-DHCP-Optionssätze sollten markiert werden
<a name="ec2-174"></a>

**Kategorie:** Identifizieren > Inventar > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::DHCPOptions`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein Amazon EC2 EC2-DHCP-Optionssatz die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn der Optionssatz keine Tag-Schlüssel oder nicht alle im Parameter angegebenen Schlüssel hat. `requiredKeyTags` Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Optionssatz keine Tag-Schlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-174-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon EC2 DHCP-Optionssatz finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
<a name="ec2-175"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Startvorlage die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn die Startvorlage keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Startvorlage keine Tagschlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-175-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon EC2 EC2-Startvorlage finden Sie unter [Taggen Ihrer Amazon EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden
<a name="ec2-176"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::PrefixList`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Präfixliste die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Das Steuerelement schlägt fehl, wenn die Präfixliste keine Tag-Schlüssel oder nicht alle durch den `requiredKeyTags` Parameter angegebenen Schlüssel enthält. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Präfixliste keine Tagschlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-176-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon EC2-Präfixliste finden Sie unter [Taggen Ihrer Amazon EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.

## [EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden
<a name="ec2-177"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TrafficMirrorSession`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob eine Amazon EC2-Traffic-Mirror-Sitzung die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn die Sitzung keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Sitzung keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-177-remediation"></a>

Informationen zum Hinzufügen von Tags zu einer Amazon EC2-Traffic-Mirror-Sitzung finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
<a name="ec2-178"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TrafficMirrorFilter`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Traffic-Mirror-Filter über die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Das Steuerelement schlägt fehl, wenn der Filter keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Filter keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-178-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon EC2-Traffic-Mirror-Filter finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden
<a name="ec2-179"></a>

**Kategorie: Identifizieren > Inventar** > Tagging

**Schweregrad:** Niedrig

**Art der Ressource:** `AWS::EC2::TrafficMirrorTarget`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:**


| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert | 

Dieses Steuerelement prüft, ob ein Amazon EC2-Traffic-Mirror-Ziel über die im `requiredKeyTags` Parameter angegebenen Tag-Schlüssel verfügt. Die Steuerung schlägt fehl, wenn das Ziel keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Ziel keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.

**Anmerkung**  
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.

### Abhilfe
<a name="ec2-179-remediation"></a>

Informationen zum Hinzufügen von Tags zu einem Amazon EC2-Traffic-Mirror-Ziel finden Sie unter [Taggen Ihrer Amazon EC2 EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
<a name="ec2-180"></a>

**Kategorie: Schützen >** Netzwerksicherheit

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::NetworkInterface`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob die source/destination Prüfung für ein Amazon EC2 elastic network interface (ENI) aktiviert ist, das von Benutzern verwaltet wird. Die Steuerung schlägt fehl, wenn die source/destination Prüfung für das benutzerverwaltete ENI deaktiviert ist. Dieses Steuerelement überprüft nur die folgenden Typen von ENIs:`aws_codestar_connections_managed`,`branch`,`efa`, `interface``lambda`, und`quicksight`.

Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationAdressvalidierung, die sicherstellt, dass eine Instance entweder die Quelle oder das Ziel jeglichen Datenverkehrs ist, den sie empfängt. Dies bietet eine zusätzliche Netzwerksicherheitsebene, indem verhindert wird, dass Ressourcen unbeabsichtigten Datenverkehr verarbeiten, und IP-Adress-Spoofing verhindert wird.

**Anmerkung**  
[Wenn Sie eine EC2-Instance als NAT-Instance verwenden und die source/destination Überprüfung auf ihre ENI deaktiviert haben, können Sie stattdessen ein NAT-Gateway verwenden.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)

### Abhilfe
<a name="ec2-180-remediation"></a>

Informationen zur Aktivierung von source/destination Prüfungen für eine Amazon EC2 EC2-ENI finden Sie unter [Ändern von Netzwerkschnittstellenattributen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
<a name="ec2-181"></a>

**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-at-rest

**Schweregrad:** Mittel

**Art der Ressource:** `AWS::EC2::LaunchTemplate`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Dieses Steuerelement prüft, ob eine Amazon EC2 EC2-Startvorlage die Verschlüsselung für alle angehängten EBS-Volumes aktiviert. Die Kontrolle schlägt fehl, wenn der Verschlüsselungsparameter `False` für alle EBS-Volumes, die in der EC2-Startvorlage angegeben sind, auf gesetzt ist.

Die Amazon EBS-Verschlüsselung ist eine einfache Verschlüsselungslösung für EBS-Ressourcen, die Amazon EC2 EC2-Instances zugeordnet sind. Mit der EBS-Verschlüsselung müssen Sie keine eigene Schlüsselverwaltungsinfrastruktur aufbauen, warten und sichern. Die EBS-Verschlüsselung wird AWS KMS keys bei der Erstellung verschlüsselter Volumes und Snapshots verwendet. Verschlüsselungsvorgänge finden auf den Servern statt, die EC2-Instances hosten. Dadurch wird die Sicherheit von Daten im Ruhezustand und bei der Übertragung zwischen einer EC2-Instance und dem angeschlossenen EBS-Speicher gewährleistet. Weitere Informationen finden Sie unter [Amazon-EBS-Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) im *Amazon-EBS-Benutzerhandbuch*.

Sie können die EBS-Verschlüsselung beim manuellen Start einzelner EC2-Instances aktivieren. Die Verwendung von EC2-Startvorlagen und die Konfiguration der Verschlüsselungseinstellungen in diesen Vorlagen bieten jedoch mehrere Vorteile. Sie können die Verschlüsselung als Standard erzwingen und die Verwendung einheitlicher Verschlüsselungseinstellungen sicherstellen. Sie können auch das Risiko von Fehlern und Sicherheitslücken verringern, die beim manuellen Starten von Instances auftreten können.

**Anmerkung**  
Wenn dieses Steuerelement eine EC2-Startvorlage überprüft, werden nur EBS-Verschlüsselungseinstellungen ausgewertet, die in der Vorlage explizit angegeben sind. Die Bewertung umfasst keine Verschlüsselungseinstellungen, die von EBS-Verschlüsselungseinstellungen auf Kontoebene, AMI-Blockgerätezuordnungen oder Quell-Snapshot-Verschlüsselungsstatus übernommen wurden.

### Abhilfe
<a name="ec2-181-remediation"></a>

Nachdem Sie eine Amazon EC2 EC2-Startvorlage erstellt haben, können Sie sie nicht mehr ändern. Sie können jedoch eine neue Version einer Startvorlage erstellen und die Verschlüsselungseinstellungen in dieser neuen Version der Vorlage ändern. Sie können die neue Version auch als Standardversion der Startvorlage angeben. Wenn Sie dann eine EC2-Instance von einer Startvorlage aus starten und keine Vorlagenversion angeben, verwendet EC2 beim Starten der Instance die Einstellungen der Standardversion. Weitere Informationen finden Sie unter [Ändern einer Startvorlage](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) im *Amazon EC2 EC2-Benutzerhandbuch*.

## [EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein
<a name="ec2-182"></a>

**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

**Schweregrad:** Hoch

**Art der Ressource:** `AWS::EC2::SnapshotBlockPublicAccess`

**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**Art des Zeitplans:** Änderung wurde ausgelöst

**Parameter:** Keine

Das Steuerelement prüft, ob Block Public Access aktiviert ist, um die gesamte gemeinsame Nutzung von Amazon EBS-Snapshots zu blockieren. Die Steuerung schlägt fehl, wenn Block Public Access nicht aktiviert ist, um das gesamte Teilen für alle Amazon EBS-Snapshots zu blockieren.

Um zu verhindern, dass Ihre Amazon EBS-Snapshots öffentlich geteilt werden, können Sie den öffentlichen Zugriff für Snapshots sperren aktivieren. Sobald die Sperrung des öffentlichen Zugriffs für Snapshots in einer Region aktiviert ist, wird jeder Versuch, Snapshots in dieser Region öffentlich zu teilen, automatisch blockiert. Dies trägt dazu bei, die Sicherheit der Snapshots zu verbessern und die Snapshot-Daten vor unbefugtem oder unbeabsichtigtem Zugriff zu schützen. 

### Abhilfe
<a name="ec2-182-remediation"></a>

Informationen zum Aktivieren des blockierten öffentlichen Zugriffs für Snapshots finden [Sie unter Konfiguration des blockierten öffentlichen Zugriffs für Amazon EBS-Snapshots im *Amazon EBS-Benutzerhandbuch*](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html). Wählen Sie unter **Öffentlichen Zugriff blockieren die Option Gesamten öffentlichen Zugriff** **blockieren** aus.