Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Regionale Beschränkungen der Security Hub-Steuerungen
Die meisten AWS Security Hub-Steuerelemente sind nur in ausgewählten Versionen verfügbar AWS-Regionen. Auf dieser Seite wird angezeigt, welche Steuerelemente in den einzelnen Regionen nicht verfügbar sind. Ein Steuerelement erscheint nicht in der Liste der Steuerelemente in der Security Hub Hub-Konsole, wenn es in der Region, in der Sie angemeldet sind, nicht verfügbar ist. Die Ausnahme ist, wenn Sie in einer Aggregationsregion angemeldet sind. In diesem Fall können Sie die Steuerelemente sehen, die in der Aggregationsregion oder in einer oder mehreren verknüpften Regionen verfügbar sind.
Inhalt
- USA Ost (Nord-Virginia)
- USA Ost (Ohio)
- USA West (Nordkalifornien)
- USA West (Oregon)
- Afrika (Kapstadt)
- Asien-Pazifik (Hongkong)
- Asien-Pazifik (Jakarta)
- Asien-Pazifik (Hyderabad)
- Asien-Pazifik (Malaysia)
- Asien-Pazifik (Melbourne)
- Asien-Pazifik (Mumbai)
- Asien-Pazifik (Osaka)
- Asien-Pazifik (Seoul)
- Asien-Pazifik (Singapur)
- Asien-Pazifik (Sydney)
- Asien-Pazifik (Tokio)
- Kanada (Zentral)
- China (Peking)
- China (Ningxia)
- Europa (Frankfurt)
- Europa (Irland)
- Europa (London)
- Europa (Milan)
- Europa (Paris)
- Europa (Spain)
- Europa (Stockholm)
- Europa (Zürich)
- Israel (Tel Aviv)
- Naher Osten (Bahrain)
- Naher Osten (UAE)
- Südamerika (São Paulo)
- AWS GovCloud (US-Ost)
- AWS GovCloud (US-West)
USA Ost (Nord-Virginia)
Die folgenden Steuerelemente werden in USA Ost (Nord-Virginia) nicht unterstützt.
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
USA Ost (Ohio)
Die folgenden Steuerelemente werden in US East (Ohio) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
USA West (Nordkalifornien)
Die folgenden Steuerelemente werden in USA West (Nordkalifornien) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
USA West (Oregon)
Die folgenden Steuerelemente werden in US West (Oregon) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Afrika (Kapstadt)
Die folgenden Steuerelemente werden in Afrika (Kapstadt) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
Asien-Pazifik (Hongkong)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Hongkong) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Jakarta)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Jakarta) nicht unterstützt.
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[Kleber.2] AWS Glue Für Jobs sollte die Protokollierung aktiviert sein
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Hyderabad)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Hyderabad) nicht unterstützt.
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.85] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.115] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein EMR
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.152] VPCs sollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden
-
[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[RDS3.7] Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten
-
[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Malaysia)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Malaysia) nicht unterstützt.
-
[ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden
-
[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[Sicherung.5] AWS Backup Backup-Pläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECR API
-
[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.62] VPCs sollte mit einem Schnittstellenendpunkt für CloudWatch Logs konfiguriert werden
-
[EC2.65] VPCs sollte mit einem Schnittstellenendpunkt für Secrets Manager konfiguriert sein
-
[EC2.66] VPCs sollte mit einem Schnittstellenendpunkt für API Gateway konfiguriert werden
-
[EC2.67] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.68] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS KMS
-
[EC2.69] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SQS
-
[EC2.70] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für STS
-
[EC2.71] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SNS
-
[EC2.72] VPCs sollte mit einem Schnittstellenendpunkt für S3 konfiguriert werden
-
[EC2.73] VPCs sollte mit einem Schnittstellenendpunkt für Lambda konfiguriert werden
-
[EC2.74] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECS
-
[EC2.75] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Load Balancing konfiguriert werden
-
[EC2.76] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudFormation
-
[EC2.77] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EventBridge
-
[EC2.78] VPCs sollte mit einem Schnittstellenendpunkt für EC2 Auto Scaling konfiguriert werden
-
[EC2.79] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker KI konfiguriert werden API
-
[EC2.82] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Runtime konfiguriert werden
-
[EC2.85] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden
-
[EC2.86] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Glue
-
[EC2.87] VPCs sollte mit einem Schnittstellenendpunkt für Kinesis Data Streams konfiguriert sein
-
[EC2.89] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudTrail
-
[EC2.90] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für RDS
-
[EC2.91] VPCs sollte mit einem Schnittstellen-Endpunkt für ECS den Agenten konfiguriert werden
-
[EC2.92] VPCs sollte mit einem Schnittstellenendpunkt für ECS Telemetrie konfiguriert werden
-
[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.95] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS
-
[EC2.96] VPCs sollte mit einem Schnittstellenendpunkt für Athena konfiguriert werden
-
[EC2.97] VPCs sollte mit einem Schnittstellenendpunkt für Firehose konfiguriert werden
-
[EC2.98] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden
-
[EC2.99] VPCs sollte mit einem Schnittstellenendpunkt für Storage Gateway konfiguriert werden
-
[EC2.100] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein MWAA
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.105] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DataSync
-
[EC2.106] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodePipeline
-
[EC2.107] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EKS
-
[EC2.108] VPCs sollte mit einem Schnittstellen-Endpunkt für EBS Direct konfiguriert werden APIs
-
[EC2.109] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.110] VPCs sollte mit einem Schnittstellenendpunkt für X-Ray konfiguriert werden
-
[EC2.111] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeBuild
-
[EC2.112] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Config
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.114] VPCs sollte mit einem Schnittstellenendpunkt für Service Catalog konfiguriert werden
-
[EC2.115] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein EMR
-
[EC2.116] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.119] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Private CA
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.131] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS
-
[EC2.132] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Backup
-
[EC2.133] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DMS
-
[EC2.134] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.143] VPCs sollte mit einem Schnittstellen-Endpunkt konfiguriert werden für AWS MGN
-
[EC2.144] VPCs sollte mit einem Schnittstellenendpunkt für Image Builder konfiguriert werden
-
[EC2.145] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.149] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein EKS
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.152] VPCs sollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden
-
[EC2.153] VPCs sollte mit einem Schnittstellenendpunkt für Lake Formation konfiguriert sein
-
[EC2.154] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein FSx
-
[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.167] VPCs sollte mit einem Schnittstellenendpunkt für DynamoDB konfiguriert werden
-
[EC2.168] VPCs sollte mit einem Schnittstellenendpunkt für Access Analyzer konfiguriert werden
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
Bei [EC2.171] EC2 VPN Verbindungen sollte die Protokollierung aktiviert sein
-
[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.16] ECS Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen
-
[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden
-
[EFS.7] Bei EFS Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.1] EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein
-
[EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen
-
[EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden
-
[EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[Kleber.2] AWS Glue Für Jobs sollte die Protokollierung aktiviert sein
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Passwortrichtlinien für IAM Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Passwortrichtlinien für IAM Benutzer sollten strenge AWS Config Laufzeiten haben
-
[IAM.14] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.17] Stellen Sie sicher, dass IAM Passwörter innerhalb von 90 Tagen oder weniger ablaufen
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen
-
[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden
-
[KMS.5] KMS Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
-
[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1] AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.17] RDS DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[RDS.18] RDS Instanzen sollten in einem bereitgestellt werden VPC
-
[RDS.23] RDS Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden
-
[RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[RDS3.6] RDS für SQL Postgre-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS3.7] Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
-
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys
-
[S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA
-
[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
-
[SNS.4] Richtlinien für den Zugriff auf SNS Themen sollten keinen öffentlichen Zugriff zulassen
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager
-
[StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden
-
[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WAF.12] Für AWS WAF Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Melbourne)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Melbourne) nicht unterstützt.
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.85] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.109] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.111] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeBuild
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.116] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.152] VPCs sollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden
-
[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Passwortrichtlinien für IAM Benutzer sollten strenge AWS Config Laufzeiten haben
-
[IAM.14] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.17] Stellen Sie sicher, dass IAM Passwörter innerhalb von 90 Tagen oder weniger ablaufen
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[RDS3.7] Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
-
[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Mumbai)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Mumbai) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Asien-Pazifik (Osaka)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Osaka) nicht unterstützt.
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
-
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein
-
[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein
-
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs
-
[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECR API
-
[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.62] VPCs sollte mit einem Schnittstellenendpunkt für CloudWatch Logs konfiguriert werden
-
[EC2.65] VPCs sollte mit einem Schnittstellenendpunkt für Secrets Manager konfiguriert sein
-
[EC2.66] VPCs sollte mit einem Schnittstellenendpunkt für API Gateway konfiguriert werden
-
[EC2.67] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.68] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS KMS
-
[EC2.69] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SQS
-
[EC2.70] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für STS
-
[EC2.71] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SNS
-
[EC2.72] VPCs sollte mit einem Schnittstellenendpunkt für S3 konfiguriert werden
-
[EC2.73] VPCs sollte mit einem Schnittstellenendpunkt für Lambda konfiguriert werden
-
[EC2.74] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECS
-
[EC2.75] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Load Balancing konfiguriert werden
-
[EC2.76] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudFormation
-
[EC2.77] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EventBridge
-
[EC2.78] VPCs sollte mit einem Schnittstellenendpunkt für EC2 Auto Scaling konfiguriert werden
-
[EC2.79] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker KI konfiguriert werden API
-
[EC2.82] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Runtime konfiguriert werden
-
[EC2.85] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden
-
[EC2.86] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Glue
-
[EC2.87] VPCs sollte mit einem Schnittstellenendpunkt für Kinesis Data Streams konfiguriert sein
-
[EC2.89] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudTrail
-
[EC2.90] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für RDS
-
[EC2.91] VPCs sollte mit einem Schnittstellen-Endpunkt für ECS den Agenten konfiguriert werden
-
[EC2.92] VPCs sollte mit einem Schnittstellenendpunkt für ECS Telemetrie konfiguriert werden
-
[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.95] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS
-
[EC2.96] VPCs sollte mit einem Schnittstellenendpunkt für Athena konfiguriert werden
-
[EC2.97] VPCs sollte mit einem Schnittstellenendpunkt für Firehose konfiguriert werden
-
[EC2.98] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden
-
[EC2.99] VPCs sollte mit einem Schnittstellenendpunkt für Storage Gateway konfiguriert werden
-
[EC2.100] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein MWAA
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.105] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DataSync
-
[EC2.106] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodePipeline
-
[EC2.107] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EKS
-
[EC2.108] VPCs sollte mit einem Schnittstellen-Endpunkt für EBS Direct konfiguriert werden APIs
-
[EC2.109] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.110] VPCs sollte mit einem Schnittstellenendpunkt für X-Ray konfiguriert werden
-
[EC2.111] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeBuild
-
[EC2.112] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Config
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.114] VPCs sollte mit einem Schnittstellenendpunkt für Service Catalog konfiguriert werden
-
[EC2.115] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein EMR
-
[EC2.116] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.119] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Private CA
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.131] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS
-
[EC2.132] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Backup
-
[EC2.133] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DMS
-
[EC2.134] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.143] VPCs sollte mit einem Schnittstellen-Endpunkt konfiguriert werden für AWS MGN
-
[EC2.144] VPCs sollte mit einem Schnittstellenendpunkt für Image Builder konfiguriert werden
-
[EC2.145] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.149] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein EKS
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.152] VPCs sollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden
-
[EC2.153] VPCs sollte mit einem Schnittstellenendpunkt für Lake Formation konfiguriert sein
-
[EC2.154] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein FSx
-
[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.167] VPCs sollte mit einem Schnittstellenendpunkt für DynamoDB konfiguriert werden
-
[EC2.168] VPCs sollte mit einem Schnittstellenendpunkt für Access Analyzer konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein
-
[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
-
[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein
-
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein
-
[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Asien-Pazifik (Seoul)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Seoul) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Asien-Pazifik (Singapur)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Singapur) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Asien-Pazifik (Sydney)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Sydney) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Asien-Pazifik (Tokio)
Die folgenden Steuerelemente werden im asiatisch-pazifischen Raum (Tokio) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Kanada (Zentral)
Die folgenden Steuerelemente werden in Kanada (Central) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
China (Peking)
Die folgenden Steuerelemente werden in China (Peking) nicht unterstützt.
-
[ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden
-
[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[Sicherung.5] AWS Backup Backup-Pläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
-
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden
-
[EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden
-
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden
-
[EC2.89] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudTrail
-
[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.106] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodePipeline
-
[EC2.112] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Config
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.143] VPCs sollte mit einem Schnittstellen-Endpunkt konfiguriert werden für AWS MGN
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.149] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein EKS
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.168] VPCs sollte mit einem Schnittstellenendpunkt für Access Analyzer konfiguriert werden
-
Bei [EC2.171] EC2 VPN Verbindungen sollte die Protokollierung aktiviert sein
-
[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden
-
[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden
-
[EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
-
[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1] AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.16] RDS DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren
-
[RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden
-
[RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[RDS3.7] Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
-
[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren
-
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
-
[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
-
[SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden
-
[StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden
-
[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
China (Ningxia)
Die folgenden Steuerelemente werden in China (Ningxia) nicht unterstützt.
-
[ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden
-
[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[Sicherung.5] AWS Backup Backup-Pläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
-
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden
-
[EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden
-
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden
-
[EC2.89] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudTrail
-
[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.106] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodePipeline
-
[EC2.112] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Config
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.143] VPCs sollte mit einem Schnittstellen-Endpunkt konfiguriert werden für AWS MGN
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.149] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein EKS
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.168] VPCs sollte mit einem Schnittstellenendpunkt für Access Analyzer konfiguriert werden
-
Bei [EC2.171] EC2 VPN Verbindungen sollte die Protokollierung aktiviert sein
-
[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden
-
[EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen
-
[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden
-
[EKS.3] EKS Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
-
[EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
-
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
-
[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
-
[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
-
[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[PCA.1] AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden
-
[RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
-
[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
-
[SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden
-
[StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden
-
[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
Europa (Frankfurt)
Die folgenden Steuerelemente werden in Europa (Frankfurt) nicht unterstützt.
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Europa (Irland)
Die folgenden Steuerelemente werden in Europa (Irland) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Europa (London)
Die folgenden Steuerelemente werden in Europa (London) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Europa (Milan)
Die folgenden Steuerelemente werden in Europa (Mailand) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Paris)
Die folgenden Steuerelemente werden in Europa (Paris) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Spain)
Die folgenden Steuerelemente werden in Europa (Spanien) nicht unterstützt.
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
-
[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.1] EBS Amazon-Snapshots sollten nicht öffentlich wiederherstellbar sein
-
[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs
-
[EC2.7] Die EBS Standardverschlüsselung sollte aktiviert sein
-
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs
-
[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.109] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.116] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein
-
[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein
-
[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
-
[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
-
[RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein
-
[RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
-
[RDS.10] Die IAM Authentifizierung sollte für RDS Instances konfiguriert werden
-
[RDS.11] Für RDS Instances sollten automatische Backups aktiviert sein
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[RDS3.7] Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL
-
[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein
-
[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein
-
[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Stockholm)
Die folgenden Steuerelemente werden in Europa (Stockholm) nicht unterstützt.
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Europa (Zürich)
Die folgenden Steuerelemente werden in Europa (Zürich) nicht unterstützt.
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
-
[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs
-
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[EC2.9] EC2 Amazon-Instances sollten keine öffentliche IPv4 Adresse haben
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs
-
[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.85] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.109] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.116] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.152] VPCs sollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
-
[RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Israel (Tel Aviv)
Die folgenden Kontrollen werden in Israel (Tel Aviv) nicht unterstützt.
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECR API
-
[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
-
[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
-
[EC2.62] VPCs sollte mit einem Schnittstellenendpunkt für CloudWatch Logs konfiguriert werden
-
[EC2.65] VPCs sollte mit einem Schnittstellenendpunkt für Secrets Manager konfiguriert sein
-
[EC2.66] VPCs sollte mit einem Schnittstellenendpunkt für API Gateway konfiguriert werden
-
[EC2.67] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.68] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS KMS
-
[EC2.69] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SQS
-
[EC2.70] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für STS
-
[EC2.71] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SNS
-
[EC2.72] VPCs sollte mit einem Schnittstellenendpunkt für S3 konfiguriert werden
-
[EC2.73] VPCs sollte mit einem Schnittstellenendpunkt für Lambda konfiguriert werden
-
[EC2.74] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ECS
-
[EC2.75] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Load Balancing konfiguriert werden
-
[EC2.76] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudFormation
-
[EC2.77] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EventBridge
-
[EC2.78] VPCs sollte mit einem Schnittstellenendpunkt für EC2 Auto Scaling konfiguriert werden
-
[EC2.79] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker KI konfiguriert werden API
-
[EC2.82] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Runtime konfiguriert werden
-
[EC2.85] VPCs sollte mit einem Schnittstellen-Endpunkt für SageMaker AI Studio konfiguriert werden
-
[EC2.86] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Glue
-
[EC2.87] VPCs sollte mit einem Schnittstellenendpunkt für Kinesis Data Streams konfiguriert sein
-
[EC2.89] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudTrail
-
[EC2.90] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für RDS
-
[EC2.91] VPCs sollte mit einem Schnittstellen-Endpunkt für ECS den Agenten konfiguriert werden
-
[EC2.92] VPCs sollte mit einem Schnittstellenendpunkt für ECS Telemetrie konfiguriert werden
-
[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.95] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS
-
[EC2.96] VPCs sollte mit einem Schnittstellenendpunkt für Athena konfiguriert werden
-
[EC2.97] VPCs sollte mit einem Schnittstellenendpunkt für Firehose konfiguriert werden
-
[EC2.98] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden
-
[EC2.99] VPCs sollte mit einem Schnittstellenendpunkt für Storage Gateway konfiguriert werden
-
[EC2.100] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein MWAA
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.105] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DataSync
-
[EC2.106] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodePipeline
-
[EC2.107] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EKS
-
[EC2.108] VPCs sollte mit einem Schnittstellen-Endpunkt für EBS Direct konfiguriert werden APIs
-
[EC2.109] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.110] VPCs sollte mit einem Schnittstellenendpunkt für X-Ray konfiguriert werden
-
[EC2.111] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeBuild
-
[EC2.112] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Config
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.114] VPCs sollte mit einem Schnittstellenendpunkt für Service Catalog konfiguriert werden
-
[EC2.115] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein EMR
-
[EC2.116] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeCommit
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.119] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Private CA
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.131] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für EFS
-
[EC2.132] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Backup
-
[EC2.133] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für DMS
-
[EC2.134] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.143] VPCs sollte mit einem Schnittstellen-Endpunkt konfiguriert werden für AWS MGN
-
[EC2.144] VPCs sollte mit einem Schnittstellenendpunkt für Image Builder konfiguriert werden
-
[EC2.145] VPCs sollte mit einem Schnittstellenendpunkt für Step Functions konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.149] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein EKS
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.152] VPCs sollte mit einem Schnittstellenendpunkt für EMR Serverless konfiguriert werden
-
[EC2.153] VPCs sollte mit einem Schnittstellenendpunkt für Lake Formation konfiguriert sein
-
[EC2.154] VPCs sollte mit einem Schnittstellen-Endpunkt für Amazon konfiguriert sein FSx
-
[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS
-
[EC2.156] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Data konfiguriert sein
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.160] VPCs sollte mit einem Schnittstellen-Endpunkt für Cloud konfiguriert werden HSM
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.167] VPCs sollte mit einem Schnittstellenendpunkt für DynamoDB konfiguriert werden
-
[EC2.168] VPCs sollte mit einem Schnittstellenendpunkt für Access Analyzer konfiguriert werden
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.16] ECS Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen
-
[EFS.6] EFS Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden
-
[EFS.7] Bei EFS Dateisystemen sollten automatische Backups aktiviert sein
-
[EFS.8] EFS Dateisysteme sollten im Ruhezustand verschlüsselt werden
-
[EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen
-
[EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden
-
[EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
-
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Passwortrichtlinien für IAM Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Passwortrichtlinien für IAM Benutzer sollten strenge AWS Config Laufzeiten haben
-
[IAM.14] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.17] Stellen Sie sicher, dass IAM Passwörter innerhalb von 90 Tagen oder weniger ablaufen
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen
-
[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.4] RDS Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[RDS3.7] Aurora SQL Postgre-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
-
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
-
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren
-
[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager
-
[StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Naher Osten (Bahrain)
Die folgenden Steuerelemente werden im Mittleren Osten (Bahrain) nicht unterstützt.
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.20] Beide VPN Tunnel für eine AWS Site-to-Site VPN Verbindung sollten aktiv sein
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Naher Osten (UAE)
Die folgenden Steuerelemente werden im Nahen Osten nicht unterstützt (UAE).
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Sicherung.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
-
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DMS.10] Auf DMS Endpunkten für Neptune-Datenbanken sollte die Autorisierung aktiviert sein IAM
-
[DMS.11] Auf DMS Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein
-
[DMS.12] DMS Endpunkte für Redis hätten aktiviert sein müssen OSS TLS
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.3] Angehängte EBS Amazon-Volumes sollten im Ruhezustand verschlüsselt werden
-
[EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden
-
[EC2.6] Die VPC Flow-Protokollierung sollte in allen aktiviert sein VPCs
-
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.94] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für SES
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.118] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.120] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für ElastiCache
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.123] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Redshift konfiguriert sein
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.135] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein AppStream API
-
[EC2.137] VPCs sollte mit einem Schnittstellenendpunkt für Elastic Beanstalk konfiguriert sein
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.142] VPCs sollte mit einem Schnittstellenendpunkt für Keyspaces konfiguriert werden
-
[EC2.144] VPCs sollte mit einem Schnittstellenendpunkt für Image Builder konfiguriert werden
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.148] VPCs sollte mit einem Schnittstellenendpunkt für Batch konfiguriert werden
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.155] VPCs sollte mit einem Schnittstellenendpunkt für Amazon EMR konfiguriert sein EKS
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.164] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CloudWatch
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.166] VPCs sollte mit einem Schnittstellenendpunkt für Security Hub konfiguriert sein
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.1] Primäre EMR Amazon-Clusterknoten sollten keine öffentlichen IP-Adressen haben
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein
-
[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben
-
[RDS.3] Für RDS DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[RDS.5] RDS DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
-
[RDS.6] Die erweiterte Überwachung sollte für RDS DB-Instances konfiguriert werden
-
[RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein
-
[RDS.11] Für RDS Instances sollten automatische Backups aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren
-
[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren
-
[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL
-
[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten
-
[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS
-
[SQS.1] SQS Amazon-Warteschlangen sollten im Ruhezustand verschlüsselt sein
-
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
Südamerika (São Paulo)
Die folgenden Steuerelemente werden in Südamerika (São Paulo) nicht unterstützt.
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.141] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Textract konfiguriert sein
-
[EC2.146] VPCs sollte mit einem Schnittstellenendpunkt für Auto Scaling konfiguriert werden
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[RDS.7] Bei RDS Clustern sollte der Löschschutz aktiviert sein
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
AWS GovCloud (US-Ost)
Die folgenden Steuerelemente werden in AWS GovCloud (USA-Ost) nicht unterstützt.
-
[ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden
-
[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden
-
[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden
-
[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[Sicherung.5] AWS Backup Backup-Pläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
-
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs
-
[EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden
-
[EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden
-
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden
-
[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty
-
[EC2.100] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein MWAA
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.119] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Private CA
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.134] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.147] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.150] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Comprehend konfiguriert sein
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.161] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Rekognition konfiguriert sein
-
[EC2.165] VPCs sollte mit einem Schnittstellenendpunkt für Amazon Bedrock konfiguriert sein
-
[EC2.167] VPCs sollte mit einem Schnittstellenendpunkt für DynamoDB konfiguriert werden
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen
-
[EKS.1] EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein
-
[EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen
-
[EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden
-
[EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[KMS.5] KMS Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
-
[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
[PCA.1] AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden
-
[RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
-
[S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA
-
[SageMaker AI.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
-
[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
-
[SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden
-
[SNS.4] Richtlinien für den Zugriff auf SNS Themen sollten keinen öffentlichen Zugriff zulassen
-
[StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden
-
[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WAF.12] Für AWS WAF Regeln sollten CloudWatch Metriken aktiviert sein
-
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
-
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden
AWS GovCloud (US-West)
Die folgenden Steuerelemente werden in AWS GovCloud (US-West) nicht unterstützt.
-
[ACM.3] ACM Zertifikate sollten mit einem Tag versehen werden
-
[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
-
[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL
-
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
-
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
-
[AppSync.1] AWS AppSync API Caches sollten im Ruhezustand verschlüsselt werden
-
[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben
-
[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API
-
[AppSync.6] AWS AppSync API Caches sollten bei der Übertragung verschlüsselt werden
-
[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden
-
[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden
-
[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
-
[Sicherung.2] AWS Backup Wiederherstellungspunkte sollten markiert werden
-
[Sicherung.4] AWS Backup Berichtspläne sollten markiert werden
-
[Sicherung.5] AWS Backup Backup-Pläne sollten markiert werden
-
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
-
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
-
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
-
[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben
-
[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden
-
[DMS.3] DMS Event-Abonnements sollten mit Tags versehen werden
-
[DMS.5] DMS Replikations-Subnetzgruppen sollten markiert werden
-
[DMS.7] Bei DMS Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
-
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
-
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
-
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
-
[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
-
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
-
[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein
-
[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden
-
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
-
[EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs
-
[EC2.21] Das Netzwerk ACLs sollte keinen Zugriff von 0.0.0.0/0 auf Port 22 oder Port 3389 zulassen
-
[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden
-
[EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden
-
[EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen
-
[EC2.28] EBS Volumes sollten durch einen Backup-Plan abgedeckt werden
-
[EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden
-
[EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden
-
[EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden
-
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
-
[EC2.48] VPC Amazon-Flow-Logs sollten mit Tags versehen werden
-
[EC2.49] VPC Amazon-Peering-Verbindungen sollten markiert werden
-
[EC2.93] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für GuardDuty
-
[EC2.100] VPCs sollte mit einem Schnittstellenendpunkt für Amazon konfiguriert sein MWAA
-
[EC2.101] VPCs sollte mit einem Schnittstellenendpunkt für Amazon MWAA konfiguriert werden für FIPS
-
[EC2.113] VPCs sollte mit einem Schnittstellenendpunkt für RDS Daten konfiguriert werden API
-
[EC2.117] VPCs sollte mit einem Schnittstellenendpunkt für App Mesh konfiguriert werden
-
[EC2.119] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für AWS Private CA
-
[EC2.121] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeArtifact API
-
[EC2.124] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.128] VPCs sollte mit einem Schnittstellenendpunkt für AMB Query konfiguriert werden
-
[EC2.129] VPCs sollte mit einem Schnittstellenendpunkt für AMB Access Bitcoin konfiguriert sein
-
[EC2.130] VPCs sollte mit einem Schnittstellen-Endpunkt für AMB Bitcoin Testnet konfiguriert werden
-
[EC2.134] VPCs sollte mit einem Schnittstellenendpunkt konfiguriert werden für CodeDeploy
-
[EC2.151] VPCs sollte mit einem Schnittstellen-Endpunkt für App Runner konfiguriert werden
-
[EC2.157] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Credentials konfiguriert werden
-
[EC2.158] VPCs sollte mit einem Schnittstellenendpunkt für IoT Core Fleet Hub konfiguriert werden
-
[EC2.167] VPCs sollte mit einem Schnittstellenendpunkt für DynamoDB konfiguriert werden
-
[EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () IMDSv2 verwenden
-
[ECR.1] Bei ECR privaten Repositorien sollte das Scannen von Bildern konfiguriert sein
-
[ECR.2] Bei ECR privaten Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
-
[ECR.3] Für ECR Repositorys sollte mindestens eine Lebenszyklus-Richtlinie konfiguriert sein
-
[ECR.4] ECR Öffentliche Repositorien sollten markiert werden
-
[ECS.3] ECS Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
-
[ECS.4] ECS Container sollten ohne Zugriffsrechte ausgeführt werden
-
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
-
[ECS.9] ECS Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
-
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
-
[ECS.15] ECS Aufgabendefinitionen sollten mit Tags versehen werden
-
[EFS.2] EFS Amazon-Volumes sollten in Backup-Plänen enthalten sein
-
[EFS.3] EFS Access Points sollten ein Stammverzeichnis erzwingen
-
[EFS.4] EFS Access Points sollten eine Benutzeridentität erzwingen
-
[EKS.1] EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein
-
[EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen
-
[EKS.7] Konfigurationen von EKS Identitätsanbietern sollten mit Tags versehen werden
-
[EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein
-
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
-
[ELB.16] Application Load Balancers sollten mit einer Website verknüpft sein AWS WAF ACL
-
Bei [ElastiCache.1] ElastiCache (Redis-OSS) Clustern sollten automatische Backups aktiviert sein
-
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
-
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
-
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
-
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
-
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
-
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
-
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
-
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
-
[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
-
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
-
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.23] IAM Access Analyzer-Analyzer sollten mit Tags versehen werden
-
[IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein
-
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
-
[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden
-
[IoT.2] AWS IoT Core Maßnahmen zur Schadensbegrenzung sollten gekennzeichnet werden
-
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
-
[KMS.5] KMS Schlüssel sollten nicht öffentlich zugänglich sein
-
[Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
-
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
-
[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein
-
[MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden
-
[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden
-
[MSK.1] MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
-
[MSK.2] Für MSK Cluster sollte die erweiterte Überwachung konfiguriert sein
-
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
-
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein
-
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
-
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
-
[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
-
[Neptune.7] Bei Neptune-DB-Clustern sollte die Datenbankauthentifizierung aktiviert sein IAM
-
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
-
[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
-
[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
-
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
-
Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
-
[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein
-
[Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
-
Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein
-
[Opensearch.6] OpenSearch -Domains sollten mindestens drei Datenknoten haben
-
Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein
-
[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden
-
[PCA.1] AWS Private CA Die Stammzertifizierungsstelle sollte deaktiviert sein
-
[RDS.12] Die IAM Authentifizierung sollte für RDS Cluster konfiguriert werden
-
[RDS.13] RDS Automatische Upgrades für kleinere Versionen sollten aktiviert sein
-
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
-
[RDS.15] RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
-
[RDS.24] RDS Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
-
[RDS.26] RDS DB-Instances sollten durch einen Backup-Plan geschützt werden
-
[RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden
-
[RDS.29] RDS DB-Cluster-Snapshots sollten mit Tags versehen werden
-
[RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
-
[RDS.35] Bei RDS DB-Clustern sollte das automatische Upgrade auf Nebenversionen aktiviert sein
-
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
-
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
-
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
-
[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
-
[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
-
[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben
-
[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
-
[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
-
[S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA
-
[SageMaker AI.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben
-
[SES.2] SES Konfigurationssätze sollten mit Tags versehen werden
-
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
-
[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
-
[SNS.3] SNS Themen sollten mit Schlagwörtern versehen werden
-
[SNS.4] Richtlinien für den Zugriff auf SNS Themen sollten keinen öffentlichen Zugriff zulassen
-
[StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden
-
[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden
-
[WAF.1] Die AWS WAF klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten
-
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein
-
[WAF.12] Für AWS WAF Regeln sollten CloudWatch Metriken aktiviert sein
