Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Standardreferenz für Security Hub CSPM
<a name="standards-reference"></a>

In AWS Security Hub CSPM besteht ein *Sicherheitsstandard* aus einer Reihe von Anforderungen, die auf regulatorischen Rahmenbedingungen, branchenüblichen Best Practices oder Unternehmensrichtlinien basieren. Security Hub CSPM ordnet diese Anforderungen den Kontrollen zu und führt Sicherheitsüberprüfungen der Kontrollen durch, um zu beurteilen, ob die Anforderungen eines Standards erfüllt werden. Jeder Standard umfasst mehrere Kontrollen.

Security Hub CSPM unterstützt derzeit die folgenden Standards:
+ **AWS Bewährte grundlegende Sicherheitsverfahren** — Dieser Standard wurde von Branchenexperten entwickelt AWS und ist eine Zusammenstellung von bewährten Sicherheitsmethoden für Unternehmen, unabhängig von Branche oder Größe. Er bietet eine Reihe von Kontrollen, die erkennen, wenn Sie AWS-Konten und Ihre Ressourcen von den bewährten Sicherheitsmethoden abweichen. Es enthält auch präskriptive Anleitungen zur Verbesserung und Aufrechterhaltung Ihrer Sicherheitslage.
+ **AWS Resource Tagging** — Mit diesem von Security Hub CSPM entwickelten Standard können Sie feststellen, ob Ihre AWS Ressourcen über Tags verfügen. Ein *Tag* ist ein Schlüssel-Wert-Paar, das als Metadaten für eine Ressource fungiert. AWS Mithilfe von Tags können Sie Ressourcen identifizieren, kategorisieren, verwalten und nach ihnen suchen. AWS Sie können beispielsweise Tags verwenden, um Ressourcen nach Zweck, Eigentümer oder Umgebung zu kategorisieren.
+ **CIS AWS Foundations Benchmark** — Dieser vom Center for Internet Security (CIS) entwickelte Standard bietet sichere Konfigurationsrichtlinien für AWS. Er legt eine Reihe von Richtlinien und bewährten Methoden zur Sicherheitskonfiguration für eine Untergruppe von AWS-Services Ressourcen fest, wobei der Schwerpunkt auf grundlegenden, testbaren und architekturunabhängigen Einstellungen liegt. Die Richtlinien beinhalten klare Implementierungs- und step-by-step Bewertungsverfahren.
+ **NIST SP 800-53 Revision 5** — Dieser Standard entspricht den Anforderungen des National Institute of Standards and Technology (NIST) zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und kritischen Ressourcen. Der zugehörige Rahmen gilt im Allgemeinen für US-Bundesbehörden oder Organisationen, die mit US-Bundesbehörden oder Informationssystemen zusammenarbeiten. Private Organisationen können die Anforderungen jedoch auch als Richtschnur verwenden.
+ **NIST SP 800-171 Revision 2** — Dieser Standard entspricht den Sicherheitsempfehlungen und -anforderungen des NIST zum Schutz der Vertraulichkeit kontrollierter nicht klassifizierter Informationen (CUI) in Systemen und Organisationen, die nicht Teil der US-Bundesregierung sind. *CUI* sind Informationen, die die staatlichen Klassifizierungskriterien nicht erfüllen, aber als sensibel gelten und von der US-Bundesregierung oder anderen Stellen im Auftrag der US-Bundesregierung erstellt oder in Besitz genommen werden.
+ **PCI DSS** — Dieser Standard entspricht dem vom PCI Security Standards Council (SSC) definierten Compliance-Framework für den Payment Card Industry Data Security Standard (PCI DSS). Das Framework enthält eine Reihe von Regeln und Richtlinien für den sicheren Umgang mit Kredit- und Debitkarteninformationen. Das Framework gilt im Allgemeinen für Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen.
+ **Service-verwalteter Standard, AWS Control Tower** — Dieser Standard hilft Ihnen bei der Konfiguration der von Security Hub CSPM bereitgestellten Detective Controls von. AWS Control Tower AWS Control Tower bietet eine einfache Möglichkeit, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten und dabei die vorgeschriebenen Best Practices zu befolgen.

Die CSPM-Standards und -Kontrollen von Security Hub garantieren nicht die Einhaltung gesetzlicher Rahmenbedingungen oder Audits. Stattdessen bieten sie eine Möglichkeit, den Zustand Ihrer Ressourcen und Ihrer Ressourcen zu bewerten AWS-Konten und zu überwachen. Wir empfehlen, jeden Standard zu aktivieren, der für Ihre Geschäftsanforderungen, Ihre Branche oder Ihren Anwendungsfall relevant ist.

Einzelne Kontrollen können für mehr als einen Standard gelten. Wenn Sie mehrere Standards aktivieren, empfehlen wir, auch konsolidierte Kontrollergebnisse zu aktivieren. Wenn Sie dies tun, generiert Security Hub CSPM einen einzigen Befund für jedes Steuerelement, auch wenn das Steuerelement für mehr als einen Standard gilt. Wenn Sie konsolidierte Kontrollergebnisse nicht aktivieren, generiert Security Hub CSPM für jeden aktivierten Standard, für den eine Kontrolle gilt, einen separaten Befund. Wenn Sie beispielsweise zwei Standards aktivieren und eine Kontrolle für beide gilt, erhalten Sie zwei separate Ergebnisse für die Kontrolle, einen für jeden Standard. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis für die Kontrolle. Weitere Informationen finden Sie unter [Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Bewährte grundlegende Sicherheitsmethoden](fsbp-standard.md)
+ [AWS Kennzeichnung von Ressourcen](standards-tagging.md)
+ [Benchmark für die Stiftungen AWS](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Version 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revision 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Vom Service verwaltete Standards](service-managed-standards.md)

# AWS Standard für grundlegende Best Practices im Bereich Sicherheit im Security Hub CSPM
<a name="fsbp-standard"></a>

Der von AWS Branchenexperten entwickelte Standard AWS Foundational Security Best Practices (FSBP) ist eine Zusammenstellung von bewährten Sicherheitsmethoden für Unternehmen, unabhängig von Branche oder Größe. Er bietet eine Reihe von Kontrollen, die erkennen, wann AWS-Konten und welche Ressourcen von den bewährten Sicherheitsmethoden abweichen. Es enthält auch präskriptive Leitlinien zur Verbesserung und Aufrechterhaltung der Sicherheitslage Ihres Unternehmens.

In AWS Security Hub CSPM umfasst der Standard AWS Foundational Security Best Practices Kontrollen, mit denen Sie AWS-Konten und Ihre Workloads kontinuierlich evaluieren und Ihnen helfen, Bereiche zu identifizieren, die von den bewährten Sicherheitsmethoden abweichen. Die Kontrollen beinhalten bewährte Sicherheitsverfahren für Ressourcen aus verschiedenen Quellen. AWS-Services Jedem Steuerelement wird eine Kategorie zugewiesen, die die Sicherheitsfunktion widerspiegelt, für die das Steuerelement gilt. Eine Liste der Kategorien und weitere Informationen finden Sie unter[Kategorien kontrollieren](control-categories.md).

## Kontrollen, die für den Standard gelten
<a name="fsbp-controls"></a>

In der folgenden Liste wird angegeben, welche AWS Security Hub CSPM-Steuerelemente für den Standard AWS Foundational Security Best Practices (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.

 [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 

 [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 

 [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 

 [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 

 [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 

 [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 

 [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 

 [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 

 [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 

 [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 

 [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 

 [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 

 [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 

 [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 

 [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 

 [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 

 [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 

 [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 

 [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 

 [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 

 [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 

 [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 

 [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden](ec2-controls.md#ec2-3) 

 [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 

 [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10) 

 [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15) 

 [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16) 

 [[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18) 

 [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19) 

 [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 

 [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 

 [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 

 [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 

 [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55)

[[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56)

[[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57)

[[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58)

[[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60)

 [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 

 [[EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren](ec2-controls.md#ec2-172) 

 [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 

 [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 

 [[EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein](ec2-controls.md#ec2-182) 

 [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 

 [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 

 [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 

 [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) 

 [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2) 

 [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 

 [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 

 [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 

 [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 

 [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 

 [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 

 [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 

 [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 

 [[ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden](ecs-controls.md#ecs-18) 

 [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 

 [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](ecs-controls.md#ecs-20) 

 [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](ecs-controls.md#ecs-21) 

 [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 

 [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 

 [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 

 [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 

 [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 

 [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 

 [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1) 

 [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 

 [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 

 [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 

 [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 

 [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3) 

 [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4) 

 [[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein](elb-controls.md#elb-5) 

 [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6) 

 [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) 

 [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 

 [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 

 [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 

 [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 

 [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 

 [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 

 [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 

 [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 

 [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 

 [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 

 [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 

 [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 

 [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 

 [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 

 [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5) 

 [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6) 

 [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7) 

 [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8) 

 [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 

 [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 

 [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 

 [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 

 [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 

 [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 

 [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 

 [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 

 [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3) 

 [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 

 [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 

 [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) 

 [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 

 [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 

 [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3) 

 [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 

 [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 

 [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 

 [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 

 [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 

 [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 

 [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 

 [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 

 [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 

 [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 

 [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 

 [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 

 [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 

 [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 

 [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 

 [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 

 [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 

 [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 

 [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 

 [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 

 [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 

 [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4) 

 [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5) 

 [[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden](rds-controls.md#rds-6) 

 [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) 

 [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8) 

 [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden](rds-controls.md#rds-10) 

 [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11) 

 [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12) 

 [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13) 

 [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 

 [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 

 [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 

 [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17) 

 [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19) 

 [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20) 

 [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21) 

 [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22) 

 [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23) 

 [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 

 [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 

 [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 

 [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 

 [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 

 [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 

 [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 

 [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 

 [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 

 [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 

 [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 

 [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 

 [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 

 [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 

 [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 

 [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 

 [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 

 [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 

 [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 

 [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 

 [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 

 [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 

 [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6) 

 [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 

 [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9) 

 [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 

 [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 

 [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 

 [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 

 [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 

 [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 

 [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 

 [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 

 [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 

 [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 

 [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 

 [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 

 [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 

 [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 

 [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 

 [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 

 [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 

 [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 

 [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 

 [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 

 [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 

 [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

# AWS Standard für Ressourcen-Tagging in Security Hub CSPM
<a name="standards-tagging"></a>

Mit dem AWS Resource Tagging-Standard, der von AWS Security Hub CSPM entwickelt wurde, können Sie feststellen, ob in Ihren AWS Ressourcen Tags fehlen. *Tags* sind Schlüssel-Wert-Paare, die als Metadaten für die Organisation von Ressourcen dienen. AWS Bei den meisten AWS Ressourcen haben Sie die Möglichkeit, einer Ressource Tags hinzuzufügen, wenn Sie die Ressource erstellen oder nachdem Sie die Ressource erstellt haben. Zu den Ressourcen gehören beispielsweise CloudFront Amazon-Distributionen, Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Secrets in. AWS Secrets Manager Mithilfe von Tags können Sie Ressourcen verwalten, identifizieren, organisieren, suchen und filtern AWS .

Jedes -Tag besteht aus zwei Teilen:
+ Ein Tag-Schlüssel, zum Beispiel, `CostCenter``Environment`, oder. `Project` Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.
+ Ein Tag-Wert, zum Beispiel oder. `111122223333` `Production` Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß- und Kleinschreibung unterschieden.

Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Informationen zum Hinzufügen von Tags zu AWS Ressourcen finden Sie im [Benutzerhandbuch zum Kennzeichnen von AWS Ressourcen und zum Tag-Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Für jedes Steuerelement, das für den AWS Resource Tagging-Standard in Security Hub CSPM gilt, können Sie optional den unterstützten Parameter verwenden, um Tag-Schlüssel anzugeben, nach denen das Steuerelement suchen soll. Wenn Sie keine Tag-Schlüssel angeben, prüft das Steuerelement nur, ob mindestens ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn eine Ressource keine Tag-Schlüssel hat.

Bevor Sie den AWS Resource Tagging-Standard aktivieren, ist es wichtig, die Ressourcenaufzeichnung in AWS Config zu aktivieren und zu konfigurieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten. Weitere Informationen, einschließlich einer Liste der aufzuzeichnenden Ressourcentypen, finden Sie unter. [Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md)

Nachdem Sie den AWS Resource Tagging-Standard aktiviert haben, erhalten Sie erste Ergebnisse für Kontrollen, die für diesen Standard gelten. Beachten Sie, dass es bis zu 18 Stunden dauern kann, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie Kontrollen, die für andere aktivierte Standards gelten. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Der AWS Resource Tagging-Standard hat den folgenden Amazon-Ressourcennamen (ARN):`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`, wobei der Regionalcode für die entsprechende *region* AWS-Region ist. Sie können auch den [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden, um den ARN eines Standards abzurufen, der derzeit aktiviert ist.

**Anmerkung**  
Der [AWS Resource Tagging-Standard](#standards-tagging) ist in den Regionen Asien-Pazifik (Neuseeland) und Asien-Pazifik (Taipeh) nicht verfügbar.

## Kontrollen, die für den Standard gelten
<a name="tagging-standard-controls"></a>

Die folgende Liste gibt an, welche AWS Security Hub CSPM-Steuerelemente für den AWS Resource Tagging-Standard (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.
+ [[ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden](acm-controls.md#acm-3)
+ [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1)
+ [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4)
+ [[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden](athena-controls.md#athena-2)
+ [[Athena.3] Athena-Arbeitsgruppen sollten markiert werden](athena-controls.md#athena-3)
+ [[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup Tresore sollten markiert sein](backup-controls.md#backup-3)
+ [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4)
+ [[Backup.5] AWS Backup Backup-Pläne sollten markiert werden](backup-controls.md#backup-5)
+ [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1)
+ [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2)
+ [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3)
+ [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation Stapel sollten markiert werden](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail Wege sollten markiert werden](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2)
+ [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1)
+ [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2)
+ [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3)
+ [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4)
+ [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5)
+ [[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] EC2 Transit Gateway-Anhänge sollten markiert werden](ec2-controls.md#ec2-33)
+ [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34)
+ [[EC2.35] EC2-Netzwerkschnittstellen sollten markiert werden](ec2-controls.md#ec2-35)
+ [[EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-36)
+ [[EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden](ec2-controls.md#ec2-37)
+ [[EC2.38] EC2-Instances sollten markiert werden](ec2-controls.md#ec2-38)
+ [[EC2.39] EC2-Internet-Gateways sollten markiert werden](ec2-controls.md#ec2-39)
+ [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40)
+ [[EC2.41] Das EC2-Netzwerk sollte markiert werden ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden](ec2-controls.md#ec2-42)
+ [[EC2.43] EC2-Sicherheitsgruppen sollten markiert werden](ec2-controls.md#ec2-43)
+ [[EC2.44] EC2-Subnetze sollten markiert werden](ec2-controls.md#ec2-44)
+ [[EC2.45] EC2-Volumes sollten markiert werden](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs sollte markiert werden](ec2-controls.md#ec2-46)
+ [[EC2.47] Amazon VPC Endpoint Services sollten markiert werden](ec2-controls.md#ec2-47)
+ [[EC2.48] Amazon VPC-Flow-Logs sollten markiert werden](ec2-controls.md#ec2-48)
+ [[EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden](ec2-controls.md#ec2-49)
+ [[EC2.50] EC2-VPN-Gateways sollten markiert werden](ec2-controls.md#ec2-50)
+ [[EC2.52] EC2-Transit-Gateways sollten markiert werden](ec2-controls.md#ec2-52)
+ [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174)
+ [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175)
+ [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176)
+ [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177)
+ [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178)
+ [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179)
+ [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4)
+ [[ECS.13] ECS-Services sollten markiert werden](ecs-controls.md#ecs-13)
+ [[ECS.14] ECS-Cluster sollten markiert werden](ecs-controls.md#ecs-14)
+ [[ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden](ecs-controls.md#ecs-15)
+ [[EFS.5] EFS-Zugangspunkte sollten markiert werden](efs-controls.md#efs-5)
+ [[EKS.6] EKS-Cluster sollten markiert werden](eks-controls.md#eks-6)
+ [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7)
+ [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9)
+ [[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets sollte markiert werden](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty Detektoren sollten markiert werden](guardduty-controls.md#guardduty-4)
+ [[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden](iam-controls.md#iam-23)
+ [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24)
+ [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25)
+ [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1)
+ [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4)
+ [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6)
+ [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1)
+ [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2)
+ [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Kinesis-Streams sollten markiert werden](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Lambda-Funktionen sollten markiert werden](lambda-controls.md#lambda-6)
+ [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9)
+ [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2)
+ [[RDS.28] RDS-DB-Cluster sollten markiert werden](rds-controls.md#rds-28)
+ [[RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden](rds-controls.md#rds-29)
+ [[RDS.30] RDS-DB-Instances sollten markiert werden](rds-controls.md#rds-30)
+ [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31)
+ [[RDS.32] RDS-DB-Snapshots sollten markiert werden](rds-controls.md#rds-32)
+ [[RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden](rds-controls.md#rds-33)
+ [[Redshift.11] Redshift-Cluster sollten markiert werden](redshift-controls.md#redshift-11)
+ [[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden](redshift-controls.md#redshift-12)
+ [[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden](redshift-controls.md#redshift-13)
+ [[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden](redshift-controls.md#redshift-14)
+ [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17)
+ [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1)
+ [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1)
+ [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2)
+ [[SNS.3] SNS-Themen sollten markiert werden](sns-controls.md#sns-3)
+ [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2)
+ [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden](transfer-controls.md#transfer-1)
+ [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4)
+ [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5)
+ [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6)
+ [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7)

# Benchmark der AWS GUS-Stiftungen im Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

Der Center for Internet Security (CIS) AWS Foundations Benchmark dient als eine Reihe von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese branchenweit anerkannten Best Practices bieten Ihnen klare step-by-step Implementierungs- und Bewertungsverfahren. Die Kontrollen in diesem Benchmark reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und helfen Ihnen dabei, die spezifischen Systeme zu schützen, die Ihr Unternehmen verwendet. 

AWS Security Hub CSPM unterstützt die CIS AWS Foundations Benchmark-Versionen 5.0.0, 3.0.0, 1.4.0 und 1.2.0. Auf dieser Seite sind die Sicherheitskontrollen aufgeführt, die jede Version unterstützt. Sie bietet auch einen Vergleich der Versionen.

## Benchmark der CIS AWS Foundations Version 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM unterstützt Version 5.0.0 (v5.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v5.0.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v5.0.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 5.0.0 gelten
<a name="cis5v0-controls"></a>

[[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)

[[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)

[[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)

[[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8)

[[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)

[[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)

[[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)

[[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark Version 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM unterstützt Version 3.0.0 (v3.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v3.0.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v3.0.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 3.0.0 gelten
<a name="cis3v0-controls"></a>

[[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)

[[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)

[[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)

[[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)

[[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)

[[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark Version 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM unterstützt Version 1.4.0 (v1.4.0) des CIS Foundations Benchmark. AWS 

### Kontrollen, die für die Version 1.4.0 von CIS Foundations Benchmark AWS gelten
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 

 [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 

 [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 

 [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

 [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 

 [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark Version 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM unterstützt Version 1.2.0 (v1.2.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v1.2.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v1.2.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 1.2.0 gelten
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 

 [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 

 [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 

 [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 

 [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 

 [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 

 [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 

 [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 

 [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

## Versionsvergleich für CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

In diesem Abschnitt werden die Unterschiede zwischen bestimmten Versionen des Center for Internet Security (CIS) AWS Foundations Benchmark — v5.0.0, v3.0.0, v1.4.0 und v1.2.0 — zusammengefasst. AWS Security Hub CSPM unterstützt jede dieser Versionen des CIS AWS Foundations Benchmark. Wir empfehlen jedoch, Version 5.0.0 zu verwenden, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können mehrere Versionen der Benchmark-Standards von CIS AWS Foundations gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unter[Einen Sicherheitsstandard aktivieren](enable-standards.md). Wenn Sie auf v5.0.0 aktualisieren möchten, aktivieren Sie es, bevor Sie eine ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. [Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v5.0.0 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir die zentrale Konfiguration.](central-configuration-intro.md)

### Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version
<a name="cis-version-comparison"></a>

Verstehen Sie, welche Kontrollen jede Version des CIS AWS Foundations Benchmark unterstützt.


| Kontroll-ID und Titel | Anforderung für CIS v5.0.0 | CIS v3.0.0-Anforderung | CIS v1.4.0-Anforderung | CIS v1.2.0-Anforderung | 
| --- | --- | --- | --- | --- | 
|  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  3.1  | 
|  [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  3.2  | 
|  [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4,9 bis 4,9  |  3.9  | 
|  [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.10  |  3,10  | 
|  [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.11  |  3,11  | 
|  [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.12  |  3,12  | 
|  [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.14  |  3,14  | 
|  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2,9  | 
|  [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Nicht unterstützt  | 
|  [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)  |  5,7  |  5.6  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  4.1  | 
|  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  4.2  | 
|  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Nicht unterstützt  | 
|  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8)  |  2.3.1  |  Nicht unterstützt  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)  |  Nicht unterstützt   |  Nicht unterstützt   |  1.16  |  1,22  | 
|  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Nicht unterstützt  |  1.16  | 
|  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)  |  1.5  |  1,6  |  1,6  |  1.14  | 
|  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)  |  Nicht unterstützt — siehe stattdessen [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)  |  Nicht unterstützt — siehe [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) stattdessen  |  Nicht unterstützt — siehe [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) stattdessen  |  1.3  | 
|  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.5  | 
|  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1,6  | 
|  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1,7  | 
|  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.8  | 
|  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.11  | 
|  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers](iam-controls.md#iam-20)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.1  | 
|  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)  |  1.18  |  1,19  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1,22  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)  |  1.19  |  1,20  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  | 
|  [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5)  |  2.2.4  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15)  |  2.2.4  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 

### ARNs für Benchmarks der CIS AWS Foundations
<a name="cisv1.4.0-finding-fields"></a>

Wenn Sie eine oder mehrere Versionen von CIS AWS Foundations Benchmark aktivieren, erhalten Sie die Ergebnisse ab sofort im AWS Security Finding Format (ASFF). In ASFF verwendet jede Version den folgenden Amazon-Ressourcennamen (ARN):

**Benchmark AWS v5.0.0 für CIS Foundations**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Benchmark für AWS GUS-Stiftungen v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Benchmark v1.4.0 für AWS GUS-Stiftungen**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Benchmark v1.2.0 AWS für GUS-Stiftungen**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Sie können den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden, um den ARN eines aktivierten Standards zu ermitteln.

Die vorherigen Werte sind für. `StandardsArn` `StandardsSubscriptionArn`Bezieht sich jedoch auf die Standard-Abonnementressource, die Security Hub CSPM erstellt, wenn Sie einen Standard abonnieren, indem Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)in einer Region anrufen.

**Anmerkung**  
Wenn Sie eine Version des CIS AWS Foundations Benchmark aktivieren, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie aktivierte Kontrollen in anderen aktivierten Standards. Weitere Informationen zum Zeitplan für die Generierung von Kontrollbefunden finden Sie unter. [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md)

Suchfelder unterscheiden sich, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Informationen zu diesen Unterschieden finden Sie unter[Auswirkungen der Konsolidierung auf ASFF-Felder und -Werte](asff-changes-consolidation.md). Ergebnisse der Stichprobenkontrolle finden Sie unter[Stichproben von Kontrollbefunden](sample-control-findings.md).

### CIS-Anforderungen, die in Security Hub CSPM nicht unterstützt werden
<a name="securityhub-standards-cis-checks-not-supported"></a>

Wie in der obigen Tabelle erwähnt, unterstützt Security Hub CSPM nicht jede CIS-Anforderung in jeder Version des CIS AWS Foundations Benchmark. Viele der nicht unterstützten Anforderungen können nur bewertet werden, indem der Status Ihrer Ressourcen manuell überprüft wird. AWS 

# NIST SP 800-53 Revision 5 im Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

Die NIST-Sonderveröffentlichung 800-53 Revision 5 (NIST SP 800-53 Rev. 5) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält einen Katalog von Sicherheits- und Datenschutzanforderungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und kritischen Ressourcen. US-Bundesbehörden und Auftragnehmer müssen diese Anforderungen erfüllen, um ihre Systeme und Organisationen zu schützen. Private Organisationen können die Anforderungen auch freiwillig als Leitfaden für die Reduzierung des Cybersicherheitsrisikos verwenden. Weitere Informationen über das Framework und seine Anforderungen finden Sie unter [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) im *NIST Computer* Security Resource Center.

AWS Security Hub CSPM bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-53 Revision 5 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-53 Revision 5-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-53 Revision 5, die manuelle Prüfungen erfordern, nicht unterstützen.

Im Gegensatz zu anderen Frameworks schreibt das NIST SP 800-53 Revision 5-Framework nicht vor, wie seine Anforderungen bewertet werden sollten. Stattdessen enthält das Framework Richtlinien. In Security Hub CSPM stellen der Standard und die Kontrollen von NIST SP 800-53 Revision 5 das Verständnis des Dienstes in Bezug auf diese Richtlinien dar.

**Topics**
+ [Konfiguration der Ressourcenaufzeichnung für den Standard](#standards-reference-nist-800-53-recording)
+ [Festlegung, welche Kontrollen für die Norm gelten](#standards-reference-nist-800-53-controls)

## Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
<a name="standards-reference-nist-800-53-recording"></a>

Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Dies gilt in erster Linie für Steuerelemente mit einem Zeitplantyp, der *durch Änderung ausgelöst wurde*. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist jedoch auch die Erfassung von Ressourcen erforderlich. Wenn die Ressourcenaufzeichnung nicht aktiviert oder korrekt konfiguriert ist, ist Security Hub CSPM möglicherweise nicht in der Lage, die entsprechenden Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.

Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-53 Revision 5 in Security Hub CSPM gelten.


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (ICH BIN)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Amazon-Dienst  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon-Simple-Notification-Service (Amazon-SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon-Simple-Queue-Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker KI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Feststellen, welche Kontrollen für den Standard gelten
<a name="standards-reference-nist-800-53-controls"></a>

In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-53 Revision 5 unterstützen und für den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „**Verwandte Anforderungen**“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
+ [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)
+ [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 
+  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 
+  [[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden](ec2-controls.md#ec2-3) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 
+  [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10) 
+  [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12) 
+  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 
+  [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15) 
+  [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16) 
+  [[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18) 
+  [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19) 
+  [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60)
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3) 
+  [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4) 
+  [[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein](elb-controls.md#elb-5) 
+  [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6) 
+  [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) 
+  [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6) 
+  [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7) 
+  [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3) 
+  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 
+  [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 
+  [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4) 
+  [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5) 
+  [[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden](rds-controls.md#rds-6) 
+  [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) 
+  [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8) 
+  [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden](rds-controls.md#rds-10) 
+  [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11) 
+  [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12) 
+  [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 
+  [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 
+  [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17) 
+  [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19) 
+  [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20) 
+  [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21) 
+  [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22) 
+  [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 
+  [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 
+  [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 
+  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 
+  [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 
+  [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14) 
+  [[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15) 
+  [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revision 2 im Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

Die NIST-Sonderveröffentlichung 800-171 Revision 2 (NIST SP 800-171 Rev. 2) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält empfohlene Sicherheitsanforderungen für den Schutz der Vertraulichkeit kontrollierter, nicht klassifizierter Informationen in Systemen und Organisationen, die nicht Teil der US-Bundesregierung sind. *Kontrollierte, nicht klassifizierte Informationen*, auch *CUI* genannt, sind vertrauliche Informationen, die nicht den staatlichen Klassifizierungskriterien entsprechen, aber geschützt werden müssen. Es handelt sich um Informationen, die als sensibel gelten und von der US-Bundesregierung oder anderen Stellen im Auftrag der US-Bundesregierung erstellt oder in Besitz genommen wurden.

NIST SP 800-171 Rev. 2 enthält empfohlene Sicherheitsanforderungen zum Schutz der Vertraulichkeit von CUI in folgenden Fällen:
+ Die Informationen befinden sich in nichtföderalen Systemen und Organisationen,
+ Die nichtföderale Organisation sammelt oder verwaltet keine Informationen im Auftrag einer Bundesbehörde und nutzt oder betreibt kein System im Auftrag einer Behörde, und 
+ Für die CUI-Kategorie, die im CUI-Register aufgeführt ist, gibt es keine spezifischen Schutzanforderungen zum Schutz der Vertraulichkeit von CUI, die in den Genehmigungsgesetzen, Verordnungen oder behördlichen Richtlinien vorgeschrieben sind. 

Die Anforderungen gelten für alle Komponenten nichtstaatlicher Systeme und Organisationen, die CUI verarbeiten, speichern oder übertragen oder die Komponenten schützen. Weitere Informationen finden Sie unter [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) im *NIST* Computer Security Resource Center.

AWS Security Hub CSPM bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-171 Revision 2 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-171 Revision 2-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-171 Revision 2, die manuelle Prüfungen erfordern, nicht unterstützen.

**Topics**
+ [Konfiguration der Ressourcenaufzeichnung für den Standard](#standards-reference-nist-800-171-recording)
+ [Festlegung, welche Kontrollen für die Norm gelten](#standards-reference-nist-800-171-controls)

## Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
<a name="standards-reference-nist-800-171-recording"></a>

Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-171 Revision 2 in AWS Security Hub CSPM aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.

Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-171 Revision 2 in Security Hub CSPM gelten.


| AWS-Service | Ressourcentypen | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(ICH BIN) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Festlegung, welche Kontrollen für den Standard gelten
<a name="standards-reference-nist-800-171-controls"></a>

In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-171 Revision 2 unterstützen und für den Standard NIST SP 800-171 Revision 2 in AWS Security Hub CSPM gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „**Verwandte Anforderungen**“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
+ [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)
+ [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10)
+ [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)
+ [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16)
+ [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18)
+ [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19)
+ [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20)
+ [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)
+ [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51)
+ [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3)
+ [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)
+ [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)
+ [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)
+ [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)
+ [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10)
+ [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)
+ [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)
+ [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)
+ [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)
+ [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)
+ [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)
+ [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)
+ [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21)
+ [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)
+ [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6)
+ [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)
+ [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11)
+ [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14)
+ [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)
+ [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12)

# PCI DSS im Security Hub CSPM
<a name="pci-standard"></a>

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Compliance-Framework eines Drittanbieters, das eine Reihe von Regeln und Richtlinien für den sicheren Umgang mit Kredit- und Debitkarteninformationen enthält. Der PCI Security Standards Council (SSC) erstellt und aktualisiert dieses Framework.

AWS Security Hub CSPM bietet einen PCI-DSS-Standard, der Ihnen helfen kann, die Einhaltung dieses Drittanbieter-Frameworks zu gewährleisten. Sie können diesen Standard verwenden, um Sicherheitslücken in AWS Ressourcen zu entdecken, die Karteninhaberdaten verarbeiten. Wir empfehlen AWS-Konten , diesen Standard für Ressourcen zu aktivieren, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Durch Prüfungen durch das PCI SSC wurde dieser Standard bestätigt.

Security Hub CSPM bietet Unterstützung für PCI DSS v3.2.1 und PCI DSS v4.0.1. Wir empfehlen die Verwendung von Version 4.0.1, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können beide Versionen des Standards gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unter[Einen Sicherheitsstandard aktivieren](enable-standards.md). Wenn Sie derzeit Version 3.2.1 verwenden, aber nur Version 4.0.1 verwenden möchten, aktivieren Sie die neuere Version, bevor Sie die ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v4.0.1 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir, dafür die [zentrale Konfiguration](central-configuration-intro.md) zu verwenden.

In den folgenden Abschnitten wird angegeben, welche Kontrollen für PCI DSS v3.2.1 und PCI DSS v4.0.1 gelten.

## Kontrollen, die für PCI DSS v3.2.1 gelten
<a name="pci-controls"></a>

Die folgende Liste gibt an, welche Security Hub CSPM-Steuerelemente für PCI DSS v3.2.1 gelten. Um die Details einer Steuerung zu überprüfen, wählen Sie die Steuerung aus.

 [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 

 [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12) 

 [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 

 [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 

 [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 

 [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

 [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 

 [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3) 

 [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 

 [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 

 [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 

 [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 

 [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 

 [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 

## Kontrollen, die für PCI DSS v4.0.1 gelten
<a name="pci4-controls"></a>

Die folgende Liste gibt an, welche Security Hub CSPM-Steuerelemente für PCI DSS v4.0.1 gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.

[[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)

[[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2)

[[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2)

[[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5)

[Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3)

[[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1)

[[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10)

[[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11)

[[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12)

[[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6)

[[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7)

[[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8)

[[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9)

[[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)

[[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)

[[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15)

[[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16)

[[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25)

[[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1)

[[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10)

[[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16)

[[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2)

[[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8)

[[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4)

[[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1)

[[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)

[[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3)

[[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8)

[[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14)

[[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3)

[[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4)

[[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8)

[[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1)

[[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2)

[[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2)

[[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3)

[[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5)

[[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8)

[[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)

[[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)

[[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)

[[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)

[[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1)

[[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2)

[[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3)

[[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1)

[[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)

[[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3)

[[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1)

[[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3)

[[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3)

[Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10)

[Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20)

[[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21)

[[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22)

[[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24)

[[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25)

[[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35)

[[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37)

[[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1)

[[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15)

[[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2)

[[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4)

[[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15)

[[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

[[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)

[[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)

[[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3)

[[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2)

[[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1)

[[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11)

# Von Diensten verwaltete Standards in Security Hub CSPM
<a name="service-managed-standards"></a>

Ein vom Service verwalteter Standard ist ein Sicherheitsstandard, der von einem anderen AWS-Service verwaltet wird, den Sie jedoch in Security Hub CSPM einsehen können. Zum Beispiel ist [Service-Managed Standard: ein vom Service verwalteter Standard](service-managed-standard-aws-control-tower.md), der verwaltet AWS Control Tower wird. AWS Control Tower Ein Service-Managed-Standard unterscheidet sich auf folgende Weise von einem AWS Sicherheitsstandard, den Security Hub CSPM verwaltet:
+ **Erstellung und Löschung von Standards** — Sie erstellen und löschen einen vom Service verwalteten Standard mit der Konsole oder API des verwaltenden Dienstes oder mit dem. AWS CLI Solange Sie den Standard nicht auf eine dieser Arten im Verwaltungsdienst erstellt haben, wird der Standard nicht in der Security Hub CSPM-Konsole angezeigt und ist nicht über die Security Hub CSPM-API zugänglich oder. AWS CLI
+ **Keine automatische Aktivierung von Kontrollen** — Wenn Sie einen vom Service verwalteten Standard erstellen, aktivieren Security Hub CSPM und der Verwaltungsdienst nicht automatisch die Kontrollen, die für den Standard gelten. Wenn Security Hub CSPM neue Kontrollen für den Standard veröffentlicht, werden diese außerdem nicht automatisch aktiviert. Dies ist eine Abkehr von den Standards, die Security Hub CSPM verwaltet. Weitere Informationen zur üblichen Konfiguration von Steuerelementen in Security Hub CSPM finden Sie unter. [Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM](controls-view-manage.md)
+ Steuerungen **aktivieren und deaktivieren — Wir empfehlen, die Steuerungen** im Verwaltungsdienst zu aktivieren und zu deaktivieren, um Abweichungen zu vermeiden.
+ **Verfügbarkeit von Kontrollen** — Der Verwaltungsdienst entscheidet, welche Kontrollen im Rahmen des vom Service verwalteten Standards verfügbar sind. Die verfügbaren Kontrollen können alle oder einen Teil der vorhandenen Security Hub CSPM-Steuerelemente umfassen.

Nachdem der Verwaltungsdienst den vom Service verwalteten Standard erstellt und Kontrollen dafür verfügbar gemacht hat, können Sie in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder auf Ihre Kontrollergebnisse, Kontrollstatus und Standardsicherheitsbewertung zugreifen. AWS CLI Einige oder alle dieser Informationen sind möglicherweise auch im Verwaltungsdienst verfügbar.

Wählen Sie einen vom Service verwalteten Standard aus der folgenden Liste aus, um weitere Informationen zu diesem Standard zu erhalten.

**Topics**
+ [

# Vom Service verwalteter Standard: AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# Vom Service verwalteter Standard: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Dieser Abschnitt enthält Informationen zum Service-Managed Standard:. AWS Control Tower

## Was ist Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower ist ein vom Service verwalteter Standard, der eine Teilmenge der Security Hub-Steuerelemente AWS Control Tower verwaltet und unterstützt. Dieser Standard richtet sich an Benutzer von AWS Security Hub CSPM und. AWS Control Tower Damit können Sie die Detective Controls von Security Hub CSPM vom AWS Control Tower Service aus konfigurieren.

Detective Controls erkennt die Nichtkonformität von Ressourcen (z. B. Fehlkonfigurationen) in Ihrem. AWS-Konten

**Tipp**  
Von Services verwaltete Standards unterscheiden sich von den Standards, die AWS Security Hub CSPM verwaltet. Beispielsweise müssen Sie im Verwaltungsdienst einen vom Dienst verwalteten Standard erstellen und löschen. Weitere Informationen finden Sie unter [Von Diensten verwaltete Standards in Security Hub CSPM](service-managed-standards.md).

Wenn Sie eine Security Hub-CSPM-Steuerung aktivieren AWS Control Tower, aktiviert Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen, sofern dies nicht bereits aktiviert ist. In der Security Hub CSPM-Konsole und API können Sie Service-Managed Standard: AWS Control Tower neben anderen Security Hub CSPM-Standards anzeigen, sobald der Standard aktiviert ist. AWS Control Tower

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.

## Den Standard erstellen
<a name="aws-control-tower-standard-creation"></a>

Dieser Standard ist in Security Hub CSPM nur verfügbar, wenn Sie Security Hub CSPM-Steuerungen von aktivieren. AWS Control Tower AWS Control Tower erstellt den Standard, wenn Sie ein entsprechendes Steuerelement zum ersten Mal mithilfe einer der folgenden Methoden aktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)Befehl aus)

Wenn Sie eine Security Hub CSPM-Steuerung aktivieren, aktiviert Security Hub CSPM AWS Control Tower, sofern Sie Security Hub CSPM noch nicht aktiviert haben, AWS Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen.

Um ein Security Hub-CSPM-Steuerelement anhand der Kontroll-ID im Kontrollkatalog zu identifizieren, können Sie das Feld `Implementation.Identifier` in verwenden. AWS Control Tower Dieses Feld ist der Security Hub CSPM-Steuer-ID zugeordnet und kann verwendet werden, um nach einer bestimmten Kontroll-ID zu filtern. Um Kontrollmetadaten für ein bestimmtes Security Hub CSPM-Steuerelement (z. B. "CodeBuild.1") in abzurufen AWS Control Tower, können Sie die API verwenden: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Sie können diesen Standard nicht in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder AWS CLI ohne vorherige Einrichtung AWS Control Tower und Aktivierung der Security Hub CSPM-Steuerelemente AWS Control Tower mit einer der oben genannten Methoden anzeigen oder darauf zugreifen.

[Dieser Standard ist nur dort verfügbar, wo er verfügbar ist.AWS-RegionenAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Steuerungen im Standard aktivieren und deaktivieren
<a name="aws-control-tower-standard-managing-controls"></a>

Nachdem Sie Security Hub CSPM Controls aktiviert haben AWS Control Tower und der Service-Managed Standard: AWS Control Tower Standard erstellt wurde, können Sie den Standard und die verfügbaren Kontrollen in Security Hub CSPM einsehen.

Wenn Security Hub CSPM dem Service-Managed Standard: AWS Control Tower Standard neue Steuerelemente hinzufügt, werden diese nicht automatisch für Kunden aktiviert, die den Standard aktiviert haben. Sie sollten die Steuerungen für den Standard AWS Control Tower von mit einer der folgenden Methoden aktivieren und deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufe das [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)und auf [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (führe die [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehle [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)und aus)

Wenn Sie den Aktivierungsstatus eines Steuerelements in ändern AWS Control Tower, spiegelt sich die Änderung auch in Security Hub CSPM wider.

Die Deaktivierung eines Steuerelements in Security Hub CSPM, das aktiviert ist, AWS Control Tower führt jedoch zu Kontrollabweichungen. Der Kontrollstatus in AWS Control Tower wird als angezeigt. `Drifted` Sie können diese Abweichung beheben, indem Sie mithilfe der [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API die Steuerung zurücksetzen, für die Drift gilt, oder indem [Sie in der AWS Control Tower Konsole die Option Organisationseinheit erneut registrieren](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) auswählen oder indem Sie die Steuerung deaktivieren und erneut aktivieren, indem Sie eine der AWS Control Tower oben genannten Methoden verwenden.

Wenn Sie die Aktivierungs- und Deaktivierungsaktionen in abschließen, können Sie Kontrollabweichungen vermeiden. AWS Control Tower 

Wenn Sie Kontrollen in aktivieren oder deaktivieren, gilt die Aktion für alle Konten und Regionen AWS Control Tower, die von verwaltet werden. AWS Control Tower Wenn Sie Kontrollen in Security Hub CSPM aktivieren und deaktivieren (für diesen Standard nicht empfohlen), gilt die Aktion nur für das aktuelle Konto und die Region.

**Anmerkung**  
[Die zentrale Konfiguration](central-configuration-intro.md) kann nicht zur Verwaltung von Service-Managed Standard: verwendet werden. AWS Control Tower Sie können *nur* den AWS Control Tower Dienst verwenden, um die Steuerungen in diesem Standard zu aktivieren und zu deaktivieren.

## Aktivierungsstatus und Kontrollstatus anzeigen
<a name="aws-control-tower-standard-control-status"></a>

Sie können den Aktivierungsstatus einer Kontrolle mit einer der folgenden Methoden anzeigen:
+ Security Hub CSPM-Konsole, Security Hub CSPM-API oder AWS CLI
+ AWS Control Tower Konsole
+ AWS Control Tower API, um eine Liste der aktivierten Steuerelemente zu sehen (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API auf)
+ AWS CLI um eine Liste der aktivierten Steuerelemente zu sehen (führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)Befehl aus)

Ein Steuerelement, das Sie deaktivieren, AWS Control Tower hat den Aktivierungsstatus `Disabled` in Security Hub CSPM, sofern Sie dieses Steuerelement nicht explizit in Security Hub CSPM aktivieren.

Security Hub CSPM berechnet den Kontrollstatus auf der Grundlage des Workflow-Status und des Compliance-Status der Kontrollergebnisse. Weitere Informationen zum Aktivierungsstatus und zum Kontrollstatus finden Sie unter. [Überprüfung der Details der Kontrollen in Security Hub CSPM](securityhub-standards-control-details.md)

Auf der Grundlage des Kontrollstatus berechnet Security Hub CSPM eine [Sicherheitsbewertung](standards-security-score.md) für Service-Managed Standard:. AWS Control Tower Diese Bewertung ist nur in Security Hub CSPM verfügbar. Darüber hinaus können Sie [Kontrollergebnisse](controls-findings-create-update.md) nur in Security Hub CSPM anzeigen. Die Standard-Sicherheitsbewertung und die Kontrollergebnisse sind in nicht verfügbar. AWS Control Tower

**Anmerkung**  
Wenn Sie Kontrollen für Service-Managed Standard: aktivieren AWS Control Tower, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die eine bestehende AWS Config serviceverknüpfte Regel verwenden. Möglicherweise verfügen Sie bereits über serviceverknüpfte Regeln, wenn Sie andere Standards und Kontrollen in Security Hub CSPM aktiviert haben. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

## Den Standard löschen
<a name="aws-control-tower-standard-deletion"></a>

Sie können diesen vom Dienst verwalteten Standard löschen, AWS Control Tower indem Sie alle entsprechenden Steuerelemente mit einer der folgenden Methoden deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehl aus)

Durch das Deaktivieren aller Steuerelemente wird der Standard in allen verwalteten Konten und verwalteten Regionen in gelöscht. AWS Control Tower Wenn Sie den Standard-in löschen, wird er von der Seite **Standards** der Security Hub CSPM-Konsole AWS Control Tower entfernt, und Sie können nicht mehr mit der Security Hub CSPM-API darauf zugreifen oder. AWS CLI

**Anmerkung**  
 Durch die Deaktivierung aller Steuerelemente aus dem Standard in Security Hub CSPM wird der Standard nicht deaktiviert oder gelöscht. 

Durch die Deaktivierung des Security Hub CSPM-Dienstes werden Service-Managed Standard: AWS Control Tower und alle anderen Standards, die Sie aktiviert haben, entfernt.

## Das Feldformat für Service-Managed Standard finden: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Wenn Sie Service-Managed Standard: erstellen AWS Control Tower und Kontrollen dafür aktivieren, erhalten Sie ab sofort Kontrollergebnisse in Security Hub CSPM. Security Hub CSPM meldet Kontrollergebnisse in der. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) Dies sind die ASFF-Werte für den Amazon Resource Name (ARN) dieses Standards und`GeneratorId`:
+ **Standard-ARN** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Ein Beispiel für einen Befund für Service-Managed Standard: finden Sie AWS Control Tower unter[Stichproben von Kontrollbefunden](sample-control-findings.md).

## Kontrollen, die für Service-Managed Standard gelten: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower unterstützt eine Teilmenge von Kontrollen, die Teil des FSBP-Standards ( AWS Foundational Security Best Practices) sind. Wählen Sie ein Steuerelement aus, um Informationen darüber anzuzeigen, einschließlich Schritte zur Behebung fehlgeschlagener Ergebnisse.

Um zu sehen, von welchen Security Hub CSPM-Steuerelementen unterstützt werden AWS Control Tower, können Sie eine der folgenden Methoden verwenden:
+ AWS Steuern Sie die Catalog-Konsole, nach der Sie filtern können `“Control owner = AWS Security Hub”`
+ AWS Steuern Sie die Katalog-API (rufen Sie die [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API auf) mit dem Filter für`Implementations`, nach dem gesucht werden `Types` soll `AWS::SecurityHub::SecurityControl`
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)Befehl aus) mit Filter für`Implementations`. Beispiel für einen CLI-Befehl:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Regionale Grenzwerte für Security Hub CSPM-Steuerungen, wenn sie über den Control Tower Tower-Standard aktiviert sind, stimmen möglicherweise nicht mit den regionalen Grenzwerten für die zugrunde liegenden Kontrollen überein.

Wenn in Security Hub CSPM [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) in Ihrem Konto deaktiviert sind, verwendet das `ProductFields.ControlId` Feld in den generierten Ergebnissen die standardbasierte Kontroll-ID. **Die standardbasierte Kontroll-ID ist als CT formatiert. ***ControlId***(zum Beispiel CT. CodeBuild**.1).

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.