Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheitsstandards in Security Hub CSPM verstehen
<a name="standards-view-manage"></a>

In AWS Security Hub CSPM besteht ein *Sicherheitsstandard* aus einer Reihe von Anforderungen, die auf regulatorischen Rahmenbedingungen, branchenüblichen Best Practices oder Unternehmensrichtlinien basieren. Einzelheiten zu den Standards, die Security Hub CSPM derzeit unterstützt, einschließlich der Sicherheitskontrollen, die für jeden Standard gelten, finden Sie unter. [Standardreferenz für Security Hub CSPM](standards-reference.md)

Wenn Sie einen Standard aktivieren, aktiviert Security Hub CSPM automatisch alle Kontrollen, die für den Standard gelten. Security Hub CSPM führt dann Sicherheitsprüfungen an den Kontrollen durch, wodurch Security Hub CSPM-Ergebnisse generiert werden. Sie können einzelne Kontrollen bei Bedarf deaktivieren und später wieder aktivieren. Sie können einen Standard auch vollständig deaktivieren. Wenn Sie einen Standard deaktivieren, beendet Security Hub CSPM die Ausführung von Sicherheitsüberprüfungen für Kontrollen, die für den Standard gelten. Für die Kontrollen werden keine Ergebnisse mehr generiert.

Zusätzlich zu den Ergebnissen generiert Security Hub CSPM eine Sicherheitsbewertung für jeden Standard, den Sie aktivieren. Die Bewertung basiert auf dem Status der Kontrollen, die für den Standard gelten. Wenn Sie eine Aggregationsregion festlegen, spiegelt die Sicherheitsbewertung für einen Standard den Status der Kontrollen in allen verknüpften Regionen wider. Wenn Sie der Security Hub CSPM-Administrator einer Organisation sind, spiegelt die Bewertung den Status der Kontrollen für alle Konten in Ihrer Organisation wider. Weitere Informationen finden Sie unter [Berechnung von Sicherheitswerten](standards-security-score.md).

Um Standards zu überprüfen und zu verwalten, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden. Auf der Konsole werden auf der Seite **Sicherheitsstandards** alle Sicherheitsstandards angezeigt, die Security Hub CSPM derzeit unterstützt. Dies beinhaltet eine Beschreibung der einzelnen Standards und den aktuellen Status der Standards. Wenn Sie einen Standard aktivieren, können Sie auf dieser Seite auch auf zusätzliche Details zum Standard zugreifen. Sie können beispielsweise Folgendes überprüfen:
+ Die aktuelle Sicherheitsbewertung für den Standard.
+ Aggregierte Statistiken für Kontrollen, die für den Standard gelten.
+ Eine Liste der Kontrollen, die für den Standard gelten und derzeit aktiviert sind, einschließlich des jeweiligen Konformitätsstatus.
+ Eine Liste von Kontrollen, die für den Standard gelten, aber derzeit deaktiviert sind.

Für eine eingehendere Analyse können Sie die Daten filtern und sortieren und sich die Details der einzelnen Kontrollen ansehen, die für den Standard gelten.

Sie können Standards einzeln für ein einzelnes Konto aktivieren und AWS-Region. Um Zeit zu sparen und Konfigurationsabweichungen in Umgebungen mit mehreren Konten und mehreren Regionen zu reduzieren, empfehlen wir jedoch, die Standards über eine [zentrale Konfiguration](central-configuration-intro.md) zu aktivieren und zu verwalten. Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Richtlinien erstellen, die festlegen, wie ein Standard für mehrere Konten und Regionen konfiguriert werden soll.

**Topics**
+ [Referenz zu den Standards](standards-reference.md)
+ [Einen Standard aktivieren](enable-standards.md)
+ [Überprüfung der Einzelheiten eines Standards](securityhub-standards-view-controls.md)
+ [Automatisch aktivierte Standards ausschalten](securityhub-auto-enabled-standards.md)
+ [Deaktivierung eines Standards](disable-standards.md)

# Standardreferenz für Security Hub CSPM
<a name="standards-reference"></a>

In AWS Security Hub CSPM besteht ein *Sicherheitsstandard* aus einer Reihe von Anforderungen, die auf regulatorischen Rahmenbedingungen, branchenüblichen Best Practices oder Unternehmensrichtlinien basieren. Security Hub CSPM ordnet diese Anforderungen den Kontrollen zu und führt Sicherheitsüberprüfungen der Kontrollen durch, um zu beurteilen, ob die Anforderungen eines Standards erfüllt werden. Jeder Standard umfasst mehrere Kontrollen.

Security Hub CSPM unterstützt derzeit die folgenden Standards:
+ **AWS Bewährte grundlegende Sicherheitsverfahren** — Dieser Standard wurde von Branchenexperten entwickelt AWS und ist eine Zusammenstellung von bewährten Sicherheitsmethoden für Unternehmen, unabhängig von Branche oder Größe. Er bietet eine Reihe von Kontrollen, die erkennen, wenn Sie AWS-Konten und Ihre Ressourcen von den bewährten Sicherheitsmethoden abweichen. Es enthält auch präskriptive Anleitungen zur Verbesserung und Aufrechterhaltung Ihrer Sicherheitslage.
+ **AWS Resource Tagging** — Mit diesem von Security Hub CSPM entwickelten Standard können Sie feststellen, ob Ihre AWS Ressourcen über Tags verfügen. Ein *Tag* ist ein Schlüssel-Wert-Paar, das als Metadaten für eine Ressource fungiert. AWS Mithilfe von Tags können Sie Ressourcen identifizieren, kategorisieren, verwalten und nach ihnen suchen. AWS Sie können beispielsweise Tags verwenden, um Ressourcen nach Zweck, Eigentümer oder Umgebung zu kategorisieren.
+ **CIS AWS Foundations Benchmark** — Dieser vom Center for Internet Security (CIS) entwickelte Standard bietet sichere Konfigurationsrichtlinien für AWS. Er legt eine Reihe von Richtlinien und bewährten Methoden zur Sicherheitskonfiguration für eine Untergruppe von AWS-Services Ressourcen fest, wobei der Schwerpunkt auf grundlegenden, testbaren und architekturunabhängigen Einstellungen liegt. Die Richtlinien beinhalten klare Implementierungs- und step-by-step Bewertungsverfahren.
+ **NIST SP 800-53 Revision 5** — Dieser Standard entspricht den Anforderungen des National Institute of Standards and Technology (NIST) zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und kritischen Ressourcen. Der zugehörige Rahmen gilt im Allgemeinen für US-Bundesbehörden oder Organisationen, die mit US-Bundesbehörden oder Informationssystemen zusammenarbeiten. Private Organisationen können die Anforderungen jedoch auch als Richtschnur verwenden.
+ **NIST SP 800-171 Revision 2** — Dieser Standard entspricht den Sicherheitsempfehlungen und -anforderungen des NIST zum Schutz der Vertraulichkeit kontrollierter nicht klassifizierter Informationen (CUI) in Systemen und Organisationen, die nicht Teil der US-Bundesregierung sind. *CUI* sind Informationen, die die staatlichen Klassifizierungskriterien nicht erfüllen, aber als sensibel gelten und von der US-Bundesregierung oder anderen Stellen im Auftrag der US-Bundesregierung erstellt oder in Besitz genommen werden.
+ **PCI DSS** — Dieser Standard entspricht dem vom PCI Security Standards Council (SSC) definierten Compliance-Framework für den Payment Card Industry Data Security Standard (PCI DSS). Das Framework enthält eine Reihe von Regeln und Richtlinien für den sicheren Umgang mit Kredit- und Debitkarteninformationen. Das Framework gilt im Allgemeinen für Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen.
+ **Service-verwalteter Standard, AWS Control Tower** — Dieser Standard hilft Ihnen bei der Konfiguration der von Security Hub CSPM bereitgestellten Detective Controls von. AWS Control Tower AWS Control Tower bietet eine einfache Möglichkeit, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten und dabei die vorgeschriebenen Best Practices zu befolgen.

Die CSPM-Standards und -Kontrollen von Security Hub garantieren nicht die Einhaltung gesetzlicher Rahmenbedingungen oder Audits. Stattdessen bieten sie eine Möglichkeit, den Zustand Ihrer Ressourcen und Ihrer Ressourcen zu bewerten AWS-Konten und zu überwachen. Wir empfehlen, jeden Standard zu aktivieren, der für Ihre Geschäftsanforderungen, Ihre Branche oder Ihren Anwendungsfall relevant ist.

Einzelne Kontrollen können für mehr als einen Standard gelten. Wenn Sie mehrere Standards aktivieren, empfehlen wir, auch konsolidierte Kontrollergebnisse zu aktivieren. Wenn Sie dies tun, generiert Security Hub CSPM einen einzigen Befund für jedes Steuerelement, auch wenn das Steuerelement für mehr als einen Standard gilt. Wenn Sie konsolidierte Kontrollergebnisse nicht aktivieren, generiert Security Hub CSPM für jeden aktivierten Standard, für den eine Kontrolle gilt, einen separaten Befund. Wenn Sie beispielsweise zwei Standards aktivieren und eine Kontrolle für beide gilt, erhalten Sie zwei separate Ergebnisse für die Kontrolle, einen für jeden Standard. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis für die Kontrolle. Weitere Informationen finden Sie unter [Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Bewährte grundlegende Sicherheitsmethoden](fsbp-standard.md)
+ [AWS Kennzeichnung von Ressourcen](standards-tagging.md)
+ [Benchmark für die Stiftungen AWS](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Version 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revision 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Vom Service verwaltete Standards](service-managed-standards.md)

# AWS Standard für grundlegende Best Practices im Bereich Sicherheit im Security Hub CSPM
<a name="fsbp-standard"></a>

Der von AWS Branchenexperten entwickelte Standard AWS Foundational Security Best Practices (FSBP) ist eine Zusammenstellung von bewährten Sicherheitsmethoden für Unternehmen, unabhängig von Branche oder Größe. Er bietet eine Reihe von Kontrollen, die erkennen, wann AWS-Konten und welche Ressourcen von den bewährten Sicherheitsmethoden abweichen. Es enthält auch präskriptive Leitlinien zur Verbesserung und Aufrechterhaltung der Sicherheitslage Ihres Unternehmens.

In AWS Security Hub CSPM umfasst der Standard AWS Foundational Security Best Practices Kontrollen, mit denen Sie AWS-Konten und Ihre Workloads kontinuierlich evaluieren und Ihnen helfen, Bereiche zu identifizieren, die von den bewährten Sicherheitsmethoden abweichen. Die Kontrollen beinhalten bewährte Sicherheitsverfahren für Ressourcen aus verschiedenen Quellen. AWS-Services Jedem Steuerelement wird eine Kategorie zugewiesen, die die Sicherheitsfunktion widerspiegelt, für die das Steuerelement gilt. Eine Liste der Kategorien und weitere Informationen finden Sie unter[Kategorien kontrollieren](control-categories.md).

## Kontrollen, die für den Standard gelten
<a name="fsbp-controls"></a>

In der folgenden Liste wird angegeben, welche AWS Security Hub CSPM-Steuerelemente für den Standard AWS Foundational Security Best Practices (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.

 [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1) 

 [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1) 

 [[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 

 [[AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden](appsync-controls.md#appsync-6) 

 [[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein](athena-controls.md#athena-4) 

 [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 

 [[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben](cloudformation-controls.md#cloudformation-4) 

 [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront Distributionen sollten vertrauenswürdige Schlüsselgruppen für signierte Schlüssel und Cookies verwenden URLs](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 

 [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen](cognito-controls.md#cognito-2) 

 [[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben](cognito-controls.md#cognito-3) 

 [[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein](cognito-controls.md#cognito-4) 

 [[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein](cognito-controls.md#cognito-5) 

 [[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein](datasync-controls.md#datasync-1) 

 [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 

 [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 

 [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 

 [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 

 [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 

 [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 

 [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 

 [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 

 [[DMS.13] DMS-Replikationsinstanzen sollten so konfiguriert werden, dass sie mehrere Availability Zones verwenden](dms-controls.md#dms-13) 

 [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden](ec2-controls.md#ec2-3) 

 [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 

 [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10) 

 [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15) 

 [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16) 

 [[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18) 

 [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19) 

 [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 

 [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 

 [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 

 [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 

 [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55)

[[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56)

[[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57)

[[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58)

[[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60)

 [[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171) 

 [[EC2.172] Die EC2 VPC Block Public Access-Einstellungen sollten den Internet-Gateway-Verkehr blockieren](ec2-controls.md#ec2-172) 

 [[EC2.173] EC2 Spot Fleet-Anfragen mit Startparametern sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-173) 

 [[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen](ec2-controls.md#ec2-181) 

 [[EC2.182] Amazon EBS-Snapshots sollten nicht öffentlich zugänglich sein](ec2-controls.md#ec2-182) 

 [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 

 [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 

 [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 

 [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) 

 [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2) 

 [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 

 [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 

 [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 

 [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 

 [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 

 [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 

 [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 

 [[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16) 

 [[ECS.18] ECS-Aufgabendefinitionen sollten die Verschlüsselung während der Übertragung für EFS-Volumes verwenden](ecs-controls.md#ecs-18) 

 [[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben](ecs-controls.md#ecs-19) 

 [[ECS.20] ECS-Aufgabendefinitionen sollten Benutzer, die keine Root-Benutzer sind, in Linux-Container-Definitionen konfigurieren](ecs-controls.md#ecs-20) 

 [[ECS.21] ECS-Aufgabendefinitionen sollten Benutzer ohne Administratorrechte in Windows-Containerdefinitionen konfigurieren](ecs-controls.md#ecs-21) 

 [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 

 [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 

 [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 

 [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 

 [[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein](efs-controls.md#efs-7) 

 [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8) 

 [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1) 

 [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 

 [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 

 [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 

 [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 

 [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3) 

 [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4) 

 [[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein](elb-controls.md#elb-5) 

 [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6) 

 [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) 

 [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 

 [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 

 [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 

 [[ELB.18] Anwendungs- und Network Load Balancer Balancer-Listener sollten sichere Protokolle verwenden, um Daten während der Übertragung zu verschlüsseln](elb-controls.md#elb-18) 

 [[ELB.21] Zielgruppen für Anwendungen und Network Load Balancer sollten verschlüsselte Health Check-Protokolle verwenden](elb-controls.md#elb-21) 

 [[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden](elb-controls.md#elb-22) 

 [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 

 [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 

 [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 

 [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 

 [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 

 [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 

 [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 

 [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 

 [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5) 

 [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6) 

 [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7) 

 [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8) 

 [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert werden](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx für Windows-Dateiserver sollten für die Multi-AZ-Bereitstellung konfiguriert sein](fsx-controls.md#fsx-5) 

 [[Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden](glue-controls.md#glue-3) 

 [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-13) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 

 [[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1) 

 [[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2) 

 [[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3) 

 [[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 

 [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 

 [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3) 

 [[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein](kms-controls.md#kms-5) 

 [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 

 [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) 

 [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 

 [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 

 [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3) 

 [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 

 [[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3) 

 [[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein](msk-controls.md#msk-4) 

 [[MSK.5] Bei MSK-Konnektoren sollte die Protokollierung aktiviert sein](msk-controls.md#msk-5) 

 [[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren](msk-controls.md#msk-6) 

 [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 

 [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 

 [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 

 [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 

 [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 

 [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 

 [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 

 [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 

 [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 

 [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 

 [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 

 [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 

 [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 

 [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 

 [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 

 [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 

 [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4) 

 [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5) 

 [[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden](rds-controls.md#rds-6) 

 [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) 

 [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8) 

 [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden](rds-controls.md#rds-10) 

 [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11) 

 [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12) 

 [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13) 

 [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 

 [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 

 [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 

 [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17) 

 [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19) 

 [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20) 

 [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21) 

 [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22) 

 [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23) 

 [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 

 [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 

 [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 

 [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 

 [[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden](rds-controls.md#rds-41) 

 [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern](rds-controls.md#rds-43) 

 [[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden](rds-controls.md#rds-44) 

 [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 

 [[RDS.46] RDS-DB-Instances sollten nicht in öffentlichen Subnetzen mit Routen zu Internet-Gateways bereitgestellt werden](rds-controls.md#rds-46) 

 [[RDS.47] RDS für PostgreSQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-47) 

 [[RDS.48] RDS für MySQL-DB-Cluster sollten so konfiguriert werden, dass Tags in DB-Snapshots kopiert werden](rds-controls.md#rds-48) 

 [[RDS.50] Für RDS-DB-Cluster sollte ein ausreichender Aufbewahrungszeitraum für Backups festgelegt sein](rds-controls.md#rds-50) 

 [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 

 [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 

 [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 

 [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 

 [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 

 [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 

 [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 

 [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 

 [[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15) 

 [[Redshift.18] Für Redshift-Cluster sollten Multi-AZ-Bereitstellungen aktiviert sein](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Serverlose Amazon Redshift Redshift-Arbeitsgruppen sollten erweitertes VPC-Routing verwenden](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Für die Verwendung von SSL sollten Verbindungen zu Redshift Serverless-Arbeitsgruppen erforderlich sein](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Serverlose Redshift-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Redshift Serverless-Namespaces sollten nicht den Standard-Admin-Benutzernamen verwenden](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Redshift Serverless Namespaces sollten Protokolle in Logs exportieren CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 

 [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6) 

 [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 

 [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9) 

 [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 

 [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 

 [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 

 [[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24) 

 [[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben](s3-controls.md#s3-25) 

 [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] In den SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein](ses-controls.md#ses-3) 

 [[SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen](sns-controls.md#sns-4) 

 [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 

 [[SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen](sqs-controls.md#sqs-3) 

 [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 

 [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 

 [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 

 [[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 

 [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 

 [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 

 [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 

 [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 

 [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 

 [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 

 [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 

 [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 

 [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden](workspaces-controls.md#workspaces-2) 

# AWS Standard für Ressourcen-Tagging in Security Hub CSPM
<a name="standards-tagging"></a>

Mit dem AWS Resource Tagging-Standard, der von AWS Security Hub CSPM entwickelt wurde, können Sie feststellen, ob in Ihren AWS Ressourcen Tags fehlen. *Tags* sind Schlüssel-Wert-Paare, die als Metadaten für die Organisation von Ressourcen dienen. AWS Bei den meisten AWS Ressourcen haben Sie die Möglichkeit, einer Ressource Tags hinzuzufügen, wenn Sie die Ressource erstellen oder nachdem Sie die Ressource erstellt haben. Zu den Ressourcen gehören beispielsweise CloudFront Amazon-Distributionen, Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Secrets in. AWS Secrets Manager Mithilfe von Tags können Sie Ressourcen verwalten, identifizieren, organisieren, suchen und filtern AWS .

Jedes -Tag besteht aus zwei Teilen:
+ Ein Tag-Schlüssel, zum Beispiel, `CostCenter``Environment`, oder. `Project` Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.
+ Ein Tag-Wert, zum Beispiel oder. `111122223333` `Production` Wie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß- und Kleinschreibung unterschieden.

Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Informationen zum Hinzufügen von Tags zu AWS Ressourcen finden Sie im [Benutzerhandbuch zum Kennzeichnen von AWS Ressourcen und zum Tag-Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Für jedes Steuerelement, das für den AWS Resource Tagging-Standard in Security Hub CSPM gilt, können Sie optional den unterstützten Parameter verwenden, um Tag-Schlüssel anzugeben, nach denen das Steuerelement suchen soll. Wenn Sie keine Tag-Schlüssel angeben, prüft das Steuerelement nur, ob mindestens ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn eine Ressource keine Tag-Schlüssel hat.

Bevor Sie den AWS Resource Tagging-Standard aktivieren, ist es wichtig, die Ressourcenaufzeichnung in AWS Config zu aktivieren und zu konfigurieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten. Weitere Informationen, einschließlich einer Liste der aufzuzeichnenden Ressourcentypen, finden Sie unter. [Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md)

Nachdem Sie den AWS Resource Tagging-Standard aktiviert haben, erhalten Sie erste Ergebnisse für Kontrollen, die für diesen Standard gelten. Beachten Sie, dass es bis zu 18 Stunden dauern kann, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie Kontrollen, die für andere aktivierte Standards gelten. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Der AWS Resource Tagging-Standard hat den folgenden Amazon-Ressourcennamen (ARN):`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`, wobei der Regionalcode für die entsprechende *region* AWS-Region ist. Sie können auch den [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden, um den ARN eines Standards abzurufen, der derzeit aktiviert ist.

**Anmerkung**  
Der [AWS Resource Tagging-Standard](#standards-tagging) ist in den Regionen Asien-Pazifik (Neuseeland) und Asien-Pazifik (Taipeh) nicht verfügbar.

## Kontrollen, die für den Standard gelten
<a name="tagging-standard-controls"></a>

Die folgende Liste gibt an, welche AWS Security Hub CSPM-Steuerelemente für den AWS Resource Tagging-Standard (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.
+ [[ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden](acm-controls.md#acm-3)
+ [[Amplify.1] Amplify-Apps sollten markiert werden](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify-Zweige sollten markiert werden](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig Anwendungen sollten markiert werden](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten markiert werden](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden](appflow-controls.md#appflow-1)
+ [[AppRunner.1] App Runner-Dienste sollten markiert sein](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein](appsync-controls.md#appsync-4)
+ [[Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden](athena-controls.md#athena-2)
+ [[Athena.3] Athena-Arbeitsgruppen sollten markiert werden](athena-controls.md#athena-3)
+ [[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup Tresore sollten markiert sein](backup-controls.md#backup-3)
+ [[Backup.4] AWS Backup Berichtspläne sollten markiert werden](backup-controls.md#backup-4)
+ [[Backup.5] AWS Backup Backup-Pläne sollten markiert werden](backup-controls.md#backup-5)
+ [[Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden](batch-controls.md#batch-1)
+ [[Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein](batch-controls.md#batch-2)
+ [[Batch.3] Batch-Computing-Umgebungen sollten markiert werden](batch-controls.md#batch-3)
+ [[Batch.4] Eigenschaften von Rechenressourcen in verwalteten Batch-Computing-Umgebungen sollten mit Tags versehen werden](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation Stapel sollten markiert werden](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront Distributionen sollten markiert werden](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail Wege sollten markiert werden](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact Repositorien sollten mit Tags versehen werden](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden](datasync-controls.md#datasync-2)
+ [[Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden](detective-controls.md#detective-1)
+ [[DMS.2] DMS-Zertifikate sollten gekennzeichnet sein](dms-controls.md#dms-2)
+ [[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden](dms-controls.md#dms-3)
+ [[DMS.4] DMS-Replikationsinstanzen sollten markiert werden](dms-controls.md#dms-4)
+ [[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden](dms-controls.md#dms-5)
+ [[DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] EC2 Transit Gateway-Anhänge sollten markiert werden](ec2-controls.md#ec2-33)
+ [[EC2.34] Die Routentabellen des EC2-Transit-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-34)
+ [[EC2.35] EC2-Netzwerkschnittstellen sollten markiert werden](ec2-controls.md#ec2-35)
+ [[EC2.36] EC2-Kunden-Gateways sollten mit Tags versehen werden](ec2-controls.md#ec2-36)
+ [[EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden](ec2-controls.md#ec2-37)
+ [[EC2.38] EC2-Instances sollten markiert werden](ec2-controls.md#ec2-38)
+ [[EC2.39] EC2-Internet-Gateways sollten markiert werden](ec2-controls.md#ec2-39)
+ [[EC2.40] EC2-NAT-Gateways sollten markiert werden](ec2-controls.md#ec2-40)
+ [[EC2.41] Das EC2-Netzwerk sollte markiert werden ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden](ec2-controls.md#ec2-42)
+ [[EC2.43] EC2-Sicherheitsgruppen sollten markiert werden](ec2-controls.md#ec2-43)
+ [[EC2.44] EC2-Subnetze sollten markiert werden](ec2-controls.md#ec2-44)
+ [[EC2.45] EC2-Volumes sollten markiert werden](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs sollte markiert werden](ec2-controls.md#ec2-46)
+ [[EC2.47] Amazon VPC Endpoint Services sollten markiert werden](ec2-controls.md#ec2-47)
+ [[EC2.48] Amazon VPC-Flow-Logs sollten markiert werden](ec2-controls.md#ec2-48)
+ [[EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden](ec2-controls.md#ec2-49)
+ [[EC2.50] EC2-VPN-Gateways sollten markiert werden](ec2-controls.md#ec2-50)
+ [[EC2.52] EC2-Transit-Gateways sollten markiert werden](ec2-controls.md#ec2-52)
+ [[EC2.174] EC2-DHCP-Optionssätze sollten markiert werden](ec2-controls.md#ec2-174)
+ [[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden](ec2-controls.md#ec2-175)
+ [[EC2.176] EC2-Präfixlisten sollten mit Tags versehen werden](ec2-controls.md#ec2-176)
+ [[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten markiert werden](ec2-controls.md#ec2-177)
+ [[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden](ec2-controls.md#ec2-178)
+ [[EC2.179] EC2-Traffic-Mirror-Ziele sollten markiert werden](ec2-controls.md#ec2-179)
+ [[ECR.4] Öffentliche ECR-Repositorien sollten markiert werden](ecr-controls.md#ecr-4)
+ [[ECS.13] ECS-Services sollten markiert werden](ecs-controls.md#ecs-13)
+ [[ECS.14] ECS-Cluster sollten markiert werden](ecs-controls.md#ecs-14)
+ [[ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden](ecs-controls.md#ecs-15)
+ [[EFS.5] EFS-Zugangspunkte sollten markiert werden](efs-controls.md#efs-5)
+ [[EKS.6] EKS-Cluster sollten markiert werden](eks-controls.md#eks-6)
+ [[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden](eks-controls.md#eks-7)
+ [[ES.9] Elasticsearch-Domains sollten markiert werden](es-controls.md#es-9)
+ [[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Die Entitätstypen von Amazon Fraud Detector sollten markiert werden](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Die Labels von Amazon Fraud Detector sollten gekennzeichnet sein](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] AWS Glue Jobs sollten markiert werden](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets sollte markiert werden](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty Detektoren sollten markiert werden](guardduty-controls.md#guardduty-4)
+ [[IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden](iam-controls.md#iam-23)
+ [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24)
+ [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25)
+ [[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden](iot-controls.md#iot-1)
+ [[IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core -Dimensionen sollten markiert werden](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core Autorisierer sollten markiert werden](iot-controls.md#iot-4)
+ [[IoT.5] AWS IoT Core Rollenaliase sollten markiert werden](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core Richtlinien sollten markiert werden](iot-controls.md#iot-6)
+ [[Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein](ivs-controls.md#ivs-1)
+ [[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden](ivs-controls.md#ivs-2)
+ [[IVS.3] IVS-Kanäle sollten markiert werden](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen werden](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Kinesis-Streams sollten markiert werden](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Lambda-Funktionen sollten markiert werden](lambda-controls.md#lambda-6)
+ [[MQ.4] Amazon MQ-Broker sollten markiert werden](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden](opensearch-controls.md#opensearch-9)
+ [[PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden](pca-controls.md#pca-2)
+ [[RDS.28] RDS-DB-Cluster sollten markiert werden](rds-controls.md#rds-28)
+ [[RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden](rds-controls.md#rds-29)
+ [[RDS.30] RDS-DB-Instances sollten markiert werden](rds-controls.md#rds-30)
+ [[RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden](rds-controls.md#rds-31)
+ [[RDS.32] RDS-DB-Snapshots sollten markiert werden](rds-controls.md#rds-32)
+ [[RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden](rds-controls.md#rds-33)
+ [[Redshift.11] Redshift-Cluster sollten markiert werden](redshift-controls.md#redshift-11)
+ [[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden](redshift-controls.md#redshift-12)
+ [[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden](redshift-controls.md#redshift-13)
+ [[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden](redshift-controls.md#redshift-14)
+ [[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden](redshift-controls.md#redshift-17)
+ [[Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein](route53-controls.md#route53-1)
+ [[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] SES-Kontaktlisten sollten mit Tags versehen werden](ses-controls.md#ses-1)
+ [[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden](ses-controls.md#ses-2)
+ [[SNS.3] SNS-Themen sollten markiert werden](sns-controls.md#sns-3)
+ [[SQS.2] SQS-Warteschlangen sollten markiert werden](sqs-controls.md#sqs-2)
+ [[SSM.5] SSM-Dokumente sollten mit Tags versehen werden](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Die Aktivitäten von Step Functions sollten markiert werden](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden](transfer-controls.md#transfer-1)
+ [[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden](transfer-controls.md#transfer-4)
+ [[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein](transfer-controls.md#transfer-5)
+ [[Transfer.6] Steckverbinder der Transfer-Familie sollten gekennzeichnet sein](transfer-controls.md#transfer-6)
+ [[Transfer.7] Familienprofile sollten mit Tags versehen werden](transfer-controls.md#transfer-7)

# Benchmark der AWS GUS-Stiftungen im Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

Der Center for Internet Security (CIS) AWS Foundations Benchmark dient als eine Reihe von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese branchenweit anerkannten Best Practices bieten Ihnen klare step-by-step Implementierungs- und Bewertungsverfahren. Die Kontrollen in diesem Benchmark reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und helfen Ihnen dabei, die spezifischen Systeme zu schützen, die Ihr Unternehmen verwendet. 

AWS Security Hub CSPM unterstützt die CIS AWS Foundations Benchmark-Versionen 5.0.0, 3.0.0, 1.4.0 und 1.2.0. Auf dieser Seite sind die Sicherheitskontrollen aufgeführt, die jede Version unterstützt. Sie bietet auch einen Vergleich der Versionen.

## Benchmark der CIS AWS Foundations Version 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM unterstützt Version 5.0.0 (v5.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v5.0.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v5.0.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 5.0.0 gelten
<a name="cis5v0-controls"></a>

[[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)

[[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)

[[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)

[[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8)

[[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)

[[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)

[[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)

[[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark Version 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM unterstützt Version 3.0.0 (v3.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v3.0.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v3.0.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 3.0.0 gelten
<a name="cis3v0-controls"></a>

[[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)

[[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)

[[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)

[[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)

[[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)

[[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark Version 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM unterstützt Version 1.4.0 (v1.4.0) des CIS Foundations Benchmark. AWS 

### Kontrollen, die für die Version 1.4.0 von CIS Foundations Benchmark AWS gelten
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 

 [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 

 [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 

 [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

 [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 

 [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark Version 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM unterstützt Version 1.2.0 (v1.2.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet: 
+ CIS Benchmark for CIS AWS Foundations Benchmark, v1.2.0, Stufe 1
+ CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v1.2.0, Stufe 2

### Kontrollen, die für CIS AWS Foundations Benchmark Version 1.2.0 gelten
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 

 [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11) 

 [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12) 

 [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13) 

 [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14) 

 [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15) 

 [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16) 

 [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17) 

 [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

## Versionsvergleich für CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

In diesem Abschnitt werden die Unterschiede zwischen bestimmten Versionen des Center for Internet Security (CIS) AWS Foundations Benchmark — v5.0.0, v3.0.0, v1.4.0 und v1.2.0 — zusammengefasst. AWS Security Hub CSPM unterstützt jede dieser Versionen des CIS AWS Foundations Benchmark. Wir empfehlen jedoch, Version 5.0.0 zu verwenden, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können mehrere Versionen der Benchmark-Standards von CIS AWS Foundations gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unter[Einen Sicherheitsstandard aktivieren](enable-standards.md). Wenn Sie auf v5.0.0 aktualisieren möchten, aktivieren Sie es, bevor Sie eine ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. [Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v5.0.0 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir die zentrale Konfiguration.](central-configuration-intro.md)

### Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version
<a name="cis-version-comparison"></a>

Verstehen Sie, welche Kontrollen jede Version des CIS AWS Foundations Benchmark unterstützt.


| Kontroll-ID und Titel | Anforderung für CIS v5.0.0 | CIS v3.0.0-Anforderung | CIS v1.4.0-Anforderung | CIS v1.2.0-Anforderung | 
| --- | --- | --- | --- | --- | 
|  [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  3.1  | 
|  [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  3.2  | 
|  [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4,9 bis 4,9  |  3.9  | 
|  [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.10  |  3,10  | 
|  [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.11  |  3,11  | 
|  [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.12  |  3,12  | 
|  [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  4.14  |  3,14  | 
|  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2,9  | 
|  [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Nicht unterstützt  | 
|  [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)  |  5,7  |  5.6  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  4.1  | 
|  [[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3  |  4.2  | 
|  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Nicht unterstützt  | 
|  [[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden](efs-controls.md#efs-8)  |  2.3.1  |  Nicht unterstützt  |  Nicht unterstützt  |  Nicht unterstützt  | 
|  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)  |  Nicht unterstützt   |  Nicht unterstützt   |  1.16  |  1,22  | 
|  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Nicht unterstützt  |  1.16  | 
|  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)  |  1.5  |  1,6  |  1,6  |  1.14  | 
|  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)  |  Nicht unterstützt — siehe stattdessen [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)  |  Nicht unterstützt — siehe [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) stattdessen  |  Nicht unterstützt — siehe [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22) stattdessen  |  1.3  | 
|  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.5  | 
|  [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1,6  | 
|  [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1,7  | 
|  [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.8  | 
|  [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.11  | 
|  [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers](iam-controls.md#iam-20)  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  Nicht unterstützt — CIS hat diese Anforderung entfernt  |  1.1  | 
|  [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)  |  1.18  |  1,19  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1,22  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein](iam-controls.md#iam-28)  |  1.19  |  1,20  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1)  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  |  Nicht unterstützt — manuelle Überprüfung  | 
|  [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5)  |  2.2.4  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15)  |  2.2.4  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 
|  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt  | 

### ARNs für Benchmarks der CIS AWS Foundations
<a name="cisv1.4.0-finding-fields"></a>

Wenn Sie eine oder mehrere Versionen von CIS AWS Foundations Benchmark aktivieren, erhalten Sie die Ergebnisse ab sofort im AWS Security Finding Format (ASFF). In ASFF verwendet jede Version den folgenden Amazon-Ressourcennamen (ARN):

**Benchmark AWS v5.0.0 für CIS Foundations**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Benchmark für AWS GUS-Stiftungen v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Benchmark v1.4.0 für AWS GUS-Stiftungen**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Benchmark v1.2.0 AWS für GUS-Stiftungen**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Sie können den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden, um den ARN eines aktivierten Standards zu ermitteln.

Die vorherigen Werte sind für. `StandardsArn` `StandardsSubscriptionArn`Bezieht sich jedoch auf die Standard-Abonnementressource, die Security Hub CSPM erstellt, wenn Sie einen Standard abonnieren, indem Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)in einer Region anrufen.

**Anmerkung**  
Wenn Sie eine Version des CIS AWS Foundations Benchmark aktivieren, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie aktivierte Kontrollen in anderen aktivierten Standards. Weitere Informationen zum Zeitplan für die Generierung von Kontrollbefunden finden Sie unter. [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md)

Suchfelder unterscheiden sich, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Informationen zu diesen Unterschieden finden Sie unter[Auswirkungen der Konsolidierung auf ASFF-Felder und -Werte](asff-changes-consolidation.md). Ergebnisse der Stichprobenkontrolle finden Sie unter[Stichproben von Kontrollbefunden](sample-control-findings.md).

### CIS-Anforderungen, die in Security Hub CSPM nicht unterstützt werden
<a name="securityhub-standards-cis-checks-not-supported"></a>

Wie in der obigen Tabelle erwähnt, unterstützt Security Hub CSPM nicht jede CIS-Anforderung in jeder Version des CIS AWS Foundations Benchmark. Viele der nicht unterstützten Anforderungen können nur bewertet werden, indem der Status Ihrer Ressourcen manuell überprüft wird. AWS 

# NIST SP 800-53 Revision 5 im Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

Die NIST-Sonderveröffentlichung 800-53 Revision 5 (NIST SP 800-53 Rev. 5) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält einen Katalog von Sicherheits- und Datenschutzanforderungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und kritischen Ressourcen. US-Bundesbehörden und Auftragnehmer müssen diese Anforderungen erfüllen, um ihre Systeme und Organisationen zu schützen. Private Organisationen können die Anforderungen auch freiwillig als Leitfaden für die Reduzierung des Cybersicherheitsrisikos verwenden. Weitere Informationen über das Framework und seine Anforderungen finden Sie unter [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) im *NIST Computer* Security Resource Center.

AWS Security Hub CSPM bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-53 Revision 5 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-53 Revision 5-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-53 Revision 5, die manuelle Prüfungen erfordern, nicht unterstützen.

Im Gegensatz zu anderen Frameworks schreibt das NIST SP 800-53 Revision 5-Framework nicht vor, wie seine Anforderungen bewertet werden sollten. Stattdessen enthält das Framework Richtlinien. In Security Hub CSPM stellen der Standard und die Kontrollen von NIST SP 800-53 Revision 5 das Verständnis des Dienstes in Bezug auf diese Richtlinien dar.

**Topics**
+ [Konfiguration der Ressourcenaufzeichnung für den Standard](#standards-reference-nist-800-53-recording)
+ [Festlegung, welche Kontrollen für die Norm gelten](#standards-reference-nist-800-53-controls)

## Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
<a name="standards-reference-nist-800-53-recording"></a>

Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Dies gilt in erster Linie für Steuerelemente mit einem Zeitplantyp, der *durch Änderung ausgelöst wurde*. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist jedoch auch die Erfassung von Ressourcen erforderlich. Wenn die Ressourcenaufzeichnung nicht aktiviert oder korrekt konfiguriert ist, ist Security Hub CSPM möglicherweise nicht in der Lage, die entsprechenden Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.

Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-53 Revision 5 in Security Hub CSPM gelten.


| AWS-Service | Ressourcentypen | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (ICH BIN)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Amazon-Dienst  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon-S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon-Simple-Notification-Service (Amazon-SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon-Simple-Queue-Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker KI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Feststellen, welche Kontrollen für den Standard gelten
<a name="standards-reference-nist-800-53-controls"></a>

In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-53 Revision 5 unterstützen und für den Standard NIST SP 800-53 Revision 5 in AWS Security Hub CSPM gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „**Verwandte Anforderungen**“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
+ [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)
+ [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein](backup-controls.md#backup-1) 
+  [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Event-Datenspeicher in CloudTrail Lake sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 
+  [[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 
+  [[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6) 
+  [[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7) 
+  [[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8) 
+  [[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9) 
+  [[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10) 
+  [[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11) 
+  [[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Wiederherstellung aktiviert sein point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 
+  [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 
+  [[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden](ec2-controls.md#ec2-3) 
+  [[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden](ec2-controls.md#ec2-4) 
+  [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein](ec2-controls.md#ec2-7) 
+  [[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche Adresse haben IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10) 
+  [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12) 
+  [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 
+  [[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15) 
+  [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16) 
+  [[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere verwenden ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18) 
+  [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19) 
+  [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20) 
+  [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren](ec2-controls.md#ec2-23) 
+  [[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25) 
+  [[EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt werden](ec2-controls.md#ec2-28) 
+  [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert werden](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden](ec2-controls.md#ec2-60)
+  [[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1) 
+  [[ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein](ecr-controls.md#ecr-2) 
+  [[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein](ecr-controls.md#ecr-3) 
+  [[ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS-Aufgabendefinitionen sollten Container so konfigurieren, dass sie auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sind](ecs-controls.md#ecs-5) 
+  [[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen](ecs-controls.md#ecs-9) 
+  [[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS-Cluster sollten Container Insights verwenden](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS-Aufgabendefinitionen sollten nicht den Host-Netzwerkmodus verwenden](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein](efs-controls.md#efs-2) 
+  [[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen](efs-controls.md#efs-3) 
+  [[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4) 
+  [[EFS.6] EFS-Mount-Ziele sollten nicht mit Subnetzen verknüpft werden, die beim Start öffentliche IP-Adressen zuweisen](efs-controls.md#efs-6) 
+  [[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1) 
+  [[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2) 
+  [[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3) 
+  [[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8) 
+  [Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 
+  [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3) 
+  [[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4) 
+  [[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein](elb-controls.md#elb-5) 
+  [[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein](elb-controls.md#elb-6) 
+  [[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein](elb-controls.md#elb-7) 
+  [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12) 
+  [[ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Anwendungs- und Netzwerk-Load-Balancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden](elb-controls.md#elb-17) 
+  [[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1) 
+  [[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden](emr-controls.md#emr-4) 
+  [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3) 
+  [[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein](es-controls.md#es-4) 
+  [[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben](es-controls.md#es-6) 
+  [[ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden](es-controls.md#es-7) 
+  [[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8) 
+  [[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden](fsx-controls.md#fsx-2) 
+  [[Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 
+  [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 
+  [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3) 
+  [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 
+  [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5) 
+  [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 
+  [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7) 
+  [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 
+  [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 
+  [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 
+  [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21) 
+  [[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1) 
+  [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys sollte nicht unbeabsichtigt gelöscht werden](kms-controls.md#kms-3) 
+  [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 
+  [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Bei Lambda-Funktionen sollte aktives Tracing aktiviert sein AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie sollte aktiviert sein](macie-controls.md#macie-1) 
+  [[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein](macie-controls.md#macie-2) 
+  [[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1) 
+  [[MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein](msk-controls.md#msk-2) 
+  [[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3) 
+  [[MQ.5] ActiveMQ-Broker sollten den Bereitstellungsmodus verwenden active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden](mq-controls.md#mq-6) 
+  [[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete entweder verwerfen oder weiterleiten sein](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein](networkfirewall-controls.md#networkfirewall-10) 
+  [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](opensearch-controls.md#opensearch-3) 
+  [Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein](opensearch-controls.md#opensearch-4) 
+  [Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben](opensearch-controls.md#opensearch-6) 
+  [Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](opensearch-controls.md#opensearch-8) 
+  [Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] AWS Private CA Root-Zertifizierungsstelle sollte deaktiviert sein](pca-controls.md#pca-1) 
+  [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 
+  [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.](rds-controls.md#rds-3) 
+  [[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-4) 
+  [[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden](rds-controls.md#rds-5) 
+  [[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden](rds-controls.md#rds-6) 
+  [[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein](rds-controls.md#rds-7) 
+  [[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein](rds-controls.md#rds-8) 
+  [[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden](rds-controls.md#rds-10) 
+  [[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein](rds-controls.md#rds-11) 
+  [[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden](rds-controls.md#rds-12) 
+  [[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13) 
+  [[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein](rds-controls.md#rds-14) 
+  [[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden](rds-controls.md#rds-15) 
+  [[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren](rds-controls.md#rds-16) 
+  [[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren](rds-controls.md#rds-17) 
+  [[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden](rds-controls.md#rds-19) 
+  [[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20) 
+  [[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21) 
+  [[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22) 
+  [[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden](rds-controls.md#rds-23) 
+  [[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24) 
+  [[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25) 
+  [[RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden](rds-controls.md#rds-26) 
+  [[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35) 
+  [[RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] RDS für MariaDB-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Audit-Protokollierung aktiviert sein](rds-controls.md#rds-45) 
+  [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Serverlose Redshift-Namespaces sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2) 
+  [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 
+  [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 
+  [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 
+  [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 
+  [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6) 
+  [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 
+  [[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8) 
+  [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9) 
+  [[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-10) 
+  [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11) 
+  [[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden](s3-controls.md#s3-12) 
+  [[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben](s3-controls.md#s3-13) 
+  [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14) 
+  [[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15) 
+  [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19) 
+  [[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein](s3-controls.md#s3-20) 
+  [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden](sqs-controls.md#sqs-1) 
+  [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 
+  [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM-Dokumente sollten nicht öffentlich sein](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein](transfer-controls.md#transfer-3) 
+  [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1) 
+  [[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-2) 
+  [[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-3) 
+  [[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten](waf-controls.md#waf-4) 
+  [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6) 
+  [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7) 
+  [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-10) 
+  [[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11) 
+  [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revision 2 im Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

Die NIST-Sonderveröffentlichung 800-171 Revision 2 (NIST SP 800-171 Rev. 2) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält empfohlene Sicherheitsanforderungen für den Schutz der Vertraulichkeit kontrollierter, nicht klassifizierter Informationen in Systemen und Organisationen, die nicht Teil der US-Bundesregierung sind. *Kontrollierte, nicht klassifizierte Informationen*, auch *CUI* genannt, sind vertrauliche Informationen, die nicht den staatlichen Klassifizierungskriterien entsprechen, aber geschützt werden müssen. Es handelt sich um Informationen, die als sensibel gelten und von der US-Bundesregierung oder anderen Stellen im Auftrag der US-Bundesregierung erstellt oder in Besitz genommen wurden.

NIST SP 800-171 Rev. 2 enthält empfohlene Sicherheitsanforderungen zum Schutz der Vertraulichkeit von CUI in folgenden Fällen:
+ Die Informationen befinden sich in nichtföderalen Systemen und Organisationen,
+ Die nichtföderale Organisation sammelt oder verwaltet keine Informationen im Auftrag einer Bundesbehörde und nutzt oder betreibt kein System im Auftrag einer Behörde, und 
+ Für die CUI-Kategorie, die im CUI-Register aufgeführt ist, gibt es keine spezifischen Schutzanforderungen zum Schutz der Vertraulichkeit von CUI, die in den Genehmigungsgesetzen, Verordnungen oder behördlichen Richtlinien vorgeschrieben sind. 

Die Anforderungen gelten für alle Komponenten nichtstaatlicher Systeme und Organisationen, die CUI verarbeiten, speichern oder übertragen oder die Komponenten schützen. Weitere Informationen finden Sie unter [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) im *NIST* Computer Security Resource Center.

AWS Security Hub CSPM bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-171 Revision 2 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-171 Revision 2-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-171 Revision 2, die manuelle Prüfungen erfordern, nicht unterstützen.

**Topics**
+ [Konfiguration der Ressourcenaufzeichnung für den Standard](#standards-reference-nist-800-171-recording)
+ [Festlegung, welche Kontrollen für die Norm gelten](#standards-reference-nist-800-171-controls)

## Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
<a name="standards-reference-nist-800-171-recording"></a>

Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-171 Revision 2 in AWS Security Hub CSPM aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.

Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.

In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-171 Revision 2 in Security Hub CSPM gelten.


| AWS-Service | Ressourcentypen | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(ICH BIN) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Festlegung, welche Kontrollen für den Standard gelten
<a name="standards-reference-nist-800-171-controls"></a>

In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-171 Revision 2 unterstützen und für den Standard NIST SP 800-171 Revision 2 in AWS Security Hub CSPM gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „**Verwandte Anforderungen**“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
+ [[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)
+ [[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon EC2-Service erstellt wurden](ec2-controls.md#ec2-10)
+ [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)
+ [[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16)
+ [[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen](ec2-controls.md#ec2-18)
+ [[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen](ec2-controls.md#ec2-19)
+ [[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein](ec2-controls.md#ec2-20)
+ [[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)
+ [[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51)
+ [[ELB.2] Classic Load Balancer mit SSL/HTTPS Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3)
+ [[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)
+ [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)
+ [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)
+ [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)
+ [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10)
+ [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)
+ [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)
+ [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)
+ [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)
+ [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)
+ [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)
+ [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)
+ [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21)
+ [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)
+ [[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten](s3-controls.md#s3-6)
+ [[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)
+ [[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein](s3-controls.md#s3-11)
+ [[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein](s3-controls.md#s3-14)
+ [[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)
+ [Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch](waf-controls.md#waf-12)

# PCI DSS im Security Hub CSPM
<a name="pci-standard"></a>

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Compliance-Framework eines Drittanbieters, das eine Reihe von Regeln und Richtlinien für den sicheren Umgang mit Kredit- und Debitkarteninformationen enthält. Der PCI Security Standards Council (SSC) erstellt und aktualisiert dieses Framework.

AWS Security Hub CSPM bietet einen PCI-DSS-Standard, der Ihnen helfen kann, die Einhaltung dieses Drittanbieter-Frameworks zu gewährleisten. Sie können diesen Standard verwenden, um Sicherheitslücken in AWS Ressourcen zu entdecken, die Karteninhaberdaten verarbeiten. Wir empfehlen AWS-Konten , diesen Standard für Ressourcen zu aktivieren, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Durch Prüfungen durch das PCI SSC wurde dieser Standard bestätigt.

Security Hub CSPM bietet Unterstützung für PCI DSS v3.2.1 und PCI DSS v4.0.1. Wir empfehlen die Verwendung von Version 4.0.1, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können beide Versionen des Standards gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unter[Einen Sicherheitsstandard aktivieren](enable-standards.md). Wenn Sie derzeit Version 3.2.1 verwenden, aber nur Version 4.0.1 verwenden möchten, aktivieren Sie die neuere Version, bevor Sie die ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v4.0.1 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir, dafür die [zentrale Konfiguration](central-configuration-intro.md) zu verwenden.

In den folgenden Abschnitten wird angegeben, welche Kontrollen für PCI DSS v3.2.1 und PCI DSS v4.0.1 gelten.

## Kontrollen, die für PCI DSS v3.2.1 gelten
<a name="pci-controls"></a>

Die folgende Liste gibt an, welche Security Hub CSPM-Steuerelemente für PCI DSS v3.2.1 gelten. Um die Details einer Steuerung zu überprüfen, wählen Sie die Steuerung aus.

 [[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden](config-controls.md#config-1) 

 [[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1) 

 [[EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein](ec2-controls.md#ec2-1) 

 [[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen](ec2-controls.md#ec2-2) 

 [[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Unbenutztes Amazon EC2 sollte entfernt EIPs werden](ec2-controls.md#ec2-12) 

 [[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden](elb-controls.md#elb-1) 

 [[ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](es-controls.md#es-1) 

 [[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1) 

 [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1) 

 [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2) 

 [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4) 

 [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6) 

 [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8) 

 [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9) 

 [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10) 

 [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19) 

 [[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4) 

 [[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1) 

 [[Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden](lambda-controls.md#lambda-3) 

 [Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein](opensearch-controls.md#opensearch-2) 

 [[RDS.1] Der RDS-Snapshot sollte privat sein](rds-controls.md#rds-1) 

 [[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1) 

 [[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1) 

 [[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren](s3-controls.md#s3-2) 

 [[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren](s3-controls.md#s3-3) 

 [[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5) 

 [[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden](s3-controls.md#s3-7) 

 [[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2) 

 [[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3) 

## Kontrollen, die für PCI DSS v4.0.1 gelten
<a name="pci4-controls"></a>

Die folgende Liste gibt an, welche Security Hub CSPM-Steuerelemente für PCI DSS v4.0.1 gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.

[[ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden](acm-controls.md#acm-1)

[[ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden](acm-controls.md#acm-2)

[[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben](appsync-controls.md#appsync-2)

[[AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben](autoscaling-controls.md#autoscaling-5)

[Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein](codebuild-controls.md#codebuild-3)

[[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein](dms-controls.md#dms-1)

[[DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein](dms-controls.md#dms-10)

[[DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein](dms-controls.md#dms-11)

[[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein](dms-controls.md#dms-12)

[[DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein](dms-controls.md#dms-6)

[[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-7)

[[DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein](dms-controls.md#dms-8)

[[DMS.9] DMS-Endpunkte sollten SSL verwenden](dms-controls.md#dms-9)

[[DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen](ec2-controls.md#ec2-13)

[[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen](ec2-controls.md#ec2-14)

[[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ec2-controls.md#ec2-15)

[[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden](ec2-controls.md#ec2-16)

[[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein](ec2-controls.md#ec2-171)

[[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen](ec2-controls.md#ec2-21)

[[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen](ec2-controls.md#ec2-25)

[[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein](ec2-controls.md#ec2-51)

[[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen](ec2-controls.md#ec2-53)

[[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remote-Serveradministrationsports zulassen](ec2-controls.md#ec2-54)

[[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein](ecr-controls.md#ecr-1)

[[ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen](ecs-controls.md#ecs-10)

[[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen](ecs-controls.md#ecs-16)

[[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden](ecs-controls.md#ecs-2)

[[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden](ecs-controls.md#ecs-8)

[[EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen](efs-controls.md#efs-4)

[[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein](eks-controls.md#eks-1)

[[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden](eks-controls.md#eks-2)

[[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden](eks-controls.md#eks-3)

[[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein](eks-controls.md#eks-8)

[[ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden](elb-controls.md#elb-14)

[[ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden](elb-controls.md#elb-3)

[[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden](elb-controls.md#elb-4)

[[ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config](elb-controls.md#elb-8)

[[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben](emr-controls.md#emr-1)

[[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein](emr-controls.md#emr-2)

[[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein](es-controls.md#es-2)

[[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden](es-controls.md#es-3)

[[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein](es-controls.md#es-5)

[[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden](es-controls.md#es-8)

[[EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty sollte aktiviert sein](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein](guardduty-controls.md#guardduty-9)

[[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)

[[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)

[[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)

[[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)

[[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)

[[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)

[[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)

[[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)

[[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)

[[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)

[[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)

[[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)

[[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)

[[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein](inspector-controls.md#inspector-1)

[[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein](inspector-controls.md#inspector-2)

[[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein](inspector-controls.md#inspector-3)

[[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein](inspector-controls.md#inspector-4)

[[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein](kms-controls.md#kms-4)

[[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten](lambda-controls.md#lambda-1)

[[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden](lambda-controls.md#lambda-2)

[[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein](mq-controls.md#mq-3)

[[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden](msk-controls.md#msk-1)

[[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden](msk-controls.md#msk-3)

[[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein](neptune-controls.md#neptune-3)

[Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein](opensearch-controls.md#opensearch-10)

[Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein](opensearch-controls.md#opensearch-5)

[[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein](rds-controls.md#rds-13)

[[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden](rds-controls.md#rds-20)

[[RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden](rds-controls.md#rds-21)

[[RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden](rds-controls.md#rds-22)

[[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden](rds-controls.md#rds-24)

[[RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden](rds-controls.md#rds-25)

[[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein](rds-controls.md#rds-35)

[[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-37)

[[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten](redshift-controls.md#redshift-1)

[[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen](redshift-controls.md#redshift-15)

[[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden](redshift-controls.md#redshift-2)

[[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein](redshift-controls.md#redshift-4)

[[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2)

[[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein](s3-controls.md#s3-1)

[[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein](s3-controls.md#s3-15)

[[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-19)

[[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren](s3-controls.md#s3-22)

[[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren](s3-controls.md#s3-23)

[[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein](s3-controls.md#s3-24)

[[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern](s3-controls.md#s3-5)

[[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren](s3-controls.md#s3-8)

[[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](s3-controls.md#s3-9)

[[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-2)

[[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben](ssm-controls.md#ssm-3)

[[StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden](transfer-controls.md#transfer-2)

[[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1)

[[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-11)

# Von Diensten verwaltete Standards in Security Hub CSPM
<a name="service-managed-standards"></a>

Ein vom Service verwalteter Standard ist ein Sicherheitsstandard, der von einem anderen AWS-Service verwaltet wird, den Sie jedoch in Security Hub CSPM einsehen können. Zum Beispiel ist [Service-Managed Standard: ein vom Service verwalteter Standard](service-managed-standard-aws-control-tower.md), der verwaltet AWS Control Tower wird. AWS Control Tower Ein Service-Managed-Standard unterscheidet sich auf folgende Weise von einem AWS Sicherheitsstandard, den Security Hub CSPM verwaltet:
+ **Erstellung und Löschung von Standards** — Sie erstellen und löschen einen vom Service verwalteten Standard mit der Konsole oder API des verwaltenden Dienstes oder mit dem. AWS CLI Solange Sie den Standard nicht auf eine dieser Arten im Verwaltungsdienst erstellt haben, wird der Standard nicht in der Security Hub CSPM-Konsole angezeigt und ist nicht über die Security Hub CSPM-API zugänglich oder. AWS CLI
+ **Keine automatische Aktivierung von Kontrollen** — Wenn Sie einen vom Service verwalteten Standard erstellen, aktivieren Security Hub CSPM und der Verwaltungsdienst nicht automatisch die Kontrollen, die für den Standard gelten. Wenn Security Hub CSPM neue Kontrollen für den Standard veröffentlicht, werden diese außerdem nicht automatisch aktiviert. Dies ist eine Abkehr von den Standards, die Security Hub CSPM verwaltet. Weitere Informationen zur üblichen Konfiguration von Steuerelementen in Security Hub CSPM finden Sie unter. [Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM](controls-view-manage.md)
+ Steuerungen **aktivieren und deaktivieren — Wir empfehlen, die Steuerungen** im Verwaltungsdienst zu aktivieren und zu deaktivieren, um Abweichungen zu vermeiden.
+ **Verfügbarkeit von Kontrollen** — Der Verwaltungsdienst entscheidet, welche Kontrollen im Rahmen des vom Service verwalteten Standards verfügbar sind. Die verfügbaren Kontrollen können alle oder einen Teil der vorhandenen Security Hub CSPM-Steuerelemente umfassen.

Nachdem der Verwaltungsdienst den vom Service verwalteten Standard erstellt und Kontrollen dafür verfügbar gemacht hat, können Sie in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder auf Ihre Kontrollergebnisse, Kontrollstatus und Standardsicherheitsbewertung zugreifen. AWS CLI Einige oder alle dieser Informationen sind möglicherweise auch im Verwaltungsdienst verfügbar.

Wählen Sie einen vom Service verwalteten Standard aus der folgenden Liste aus, um weitere Informationen zu diesem Standard zu erhalten.

**Topics**
+ [Vom Service verwalteter Standard: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# Vom Service verwalteter Standard: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Dieser Abschnitt enthält Informationen zum Service-Managed Standard:. AWS Control Tower

## Was ist Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower ist ein vom Service verwalteter Standard, der eine Teilmenge der Security Hub-Steuerelemente AWS Control Tower verwaltet und unterstützt. Dieser Standard richtet sich an Benutzer von AWS Security Hub CSPM und. AWS Control Tower Damit können Sie die Detective Controls von Security Hub CSPM vom AWS Control Tower Service aus konfigurieren.

Detective Controls erkennt die Nichtkonformität von Ressourcen (z. B. Fehlkonfigurationen) in Ihrem. AWS-Konten

**Tipp**  
Von Services verwaltete Standards unterscheiden sich von den Standards, die AWS Security Hub CSPM verwaltet. Beispielsweise müssen Sie im Verwaltungsdienst einen vom Dienst verwalteten Standard erstellen und löschen. Weitere Informationen finden Sie unter [Von Diensten verwaltete Standards in Security Hub CSPM](service-managed-standards.md).

Wenn Sie eine Security Hub-CSPM-Steuerung aktivieren AWS Control Tower, aktiviert Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen, sofern dies nicht bereits aktiviert ist. In der Security Hub CSPM-Konsole und API können Sie Service-Managed Standard: AWS Control Tower neben anderen Security Hub CSPM-Standards anzeigen, sobald der Standard aktiviert ist. AWS Control Tower

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.

## Den Standard erstellen
<a name="aws-control-tower-standard-creation"></a>

Dieser Standard ist in Security Hub CSPM nur verfügbar, wenn Sie Security Hub CSPM-Steuerungen von aktivieren. AWS Control Tower AWS Control Tower erstellt den Standard, wenn Sie ein entsprechendes Steuerelement zum ersten Mal mithilfe einer der folgenden Methoden aktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)Befehl aus)

Wenn Sie eine Security Hub CSPM-Steuerung aktivieren, aktiviert Security Hub CSPM AWS Control Tower, sofern Sie Security Hub CSPM noch nicht aktiviert haben, AWS Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen.

Um ein Security Hub-CSPM-Steuerelement anhand der Kontroll-ID im Kontrollkatalog zu identifizieren, können Sie das Feld `Implementation.Identifier` in verwenden. AWS Control Tower Dieses Feld ist der Security Hub CSPM-Steuer-ID zugeordnet und kann verwendet werden, um nach einer bestimmten Kontroll-ID zu filtern. Um Kontrollmetadaten für ein bestimmtes Security Hub CSPM-Steuerelement (z. B. "CodeBuild.1") in abzurufen AWS Control Tower, können Sie die API verwenden: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Sie können diesen Standard nicht in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder AWS CLI ohne vorherige Einrichtung AWS Control Tower und Aktivierung der Security Hub CSPM-Steuerelemente AWS Control Tower mit einer der oben genannten Methoden anzeigen oder darauf zugreifen.

[Dieser Standard ist nur dort verfügbar, wo er verfügbar ist.AWS-RegionenAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Steuerungen im Standard aktivieren und deaktivieren
<a name="aws-control-tower-standard-managing-controls"></a>

Nachdem Sie Security Hub CSPM Controls aktiviert haben AWS Control Tower und der Service-Managed Standard: AWS Control Tower Standard erstellt wurde, können Sie den Standard und die verfügbaren Kontrollen in Security Hub CSPM einsehen.

Wenn Security Hub CSPM dem Service-Managed Standard: AWS Control Tower Standard neue Steuerelemente hinzufügt, werden diese nicht automatisch für Kunden aktiviert, die den Standard aktiviert haben. Sie sollten die Steuerungen für den Standard AWS Control Tower von mit einer der folgenden Methoden aktivieren und deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufe das [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)und auf [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (führe die [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehle [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)und aus)

Wenn Sie den Aktivierungsstatus eines Steuerelements in ändern AWS Control Tower, spiegelt sich die Änderung auch in Security Hub CSPM wider.

Die Deaktivierung eines Steuerelements in Security Hub CSPM, das aktiviert ist, AWS Control Tower führt jedoch zu Kontrollabweichungen. Der Kontrollstatus in AWS Control Tower wird als angezeigt. `Drifted` Sie können diese Abweichung beheben, indem Sie mithilfe der [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API die Steuerung zurücksetzen, für die Drift gilt, oder indem [Sie in der AWS Control Tower Konsole die Option Organisationseinheit erneut registrieren](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) auswählen oder indem Sie die Steuerung deaktivieren und erneut aktivieren, indem Sie eine der AWS Control Tower oben genannten Methoden verwenden.

Wenn Sie die Aktivierungs- und Deaktivierungsaktionen in abschließen, können Sie Kontrollabweichungen vermeiden. AWS Control Tower 

Wenn Sie Kontrollen in aktivieren oder deaktivieren, gilt die Aktion für alle Konten und Regionen AWS Control Tower, die von verwaltet werden. AWS Control Tower Wenn Sie Kontrollen in Security Hub CSPM aktivieren und deaktivieren (für diesen Standard nicht empfohlen), gilt die Aktion nur für das aktuelle Konto und die Region.

**Anmerkung**  
[Die zentrale Konfiguration](central-configuration-intro.md) kann nicht zur Verwaltung von Service-Managed Standard: verwendet werden. AWS Control Tower Sie können *nur* den AWS Control Tower Dienst verwenden, um die Steuerungen in diesem Standard zu aktivieren und zu deaktivieren.

## Aktivierungsstatus und Kontrollstatus anzeigen
<a name="aws-control-tower-standard-control-status"></a>

Sie können den Aktivierungsstatus einer Kontrolle mit einer der folgenden Methoden anzeigen:
+ Security Hub CSPM-Konsole, Security Hub CSPM-API oder AWS CLI
+ AWS Control Tower Konsole
+ AWS Control Tower API, um eine Liste der aktivierten Steuerelemente zu sehen (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API auf)
+ AWS CLI um eine Liste der aktivierten Steuerelemente zu sehen (führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)Befehl aus)

Ein Steuerelement, das Sie deaktivieren, AWS Control Tower hat den Aktivierungsstatus `Disabled` in Security Hub CSPM, sofern Sie dieses Steuerelement nicht explizit in Security Hub CSPM aktivieren.

Security Hub CSPM berechnet den Kontrollstatus auf der Grundlage des Workflow-Status und des Compliance-Status der Kontrollergebnisse. Weitere Informationen zum Aktivierungsstatus und zum Kontrollstatus finden Sie unter. [Überprüfung der Details der Kontrollen in Security Hub CSPM](securityhub-standards-control-details.md)

Auf der Grundlage des Kontrollstatus berechnet Security Hub CSPM eine [Sicherheitsbewertung](standards-security-score.md) für Service-Managed Standard:. AWS Control Tower Diese Bewertung ist nur in Security Hub CSPM verfügbar. Darüber hinaus können Sie [Kontrollergebnisse](controls-findings-create-update.md) nur in Security Hub CSPM anzeigen. Die Standard-Sicherheitsbewertung und die Kontrollergebnisse sind in nicht verfügbar. AWS Control Tower

**Anmerkung**  
Wenn Sie Kontrollen für Service-Managed Standard: aktivieren AWS Control Tower, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die eine bestehende AWS Config serviceverknüpfte Regel verwenden. Möglicherweise verfügen Sie bereits über serviceverknüpfte Regeln, wenn Sie andere Standards und Kontrollen in Security Hub CSPM aktiviert haben. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

## Den Standard löschen
<a name="aws-control-tower-standard-deletion"></a>

Sie können diesen vom Dienst verwalteten Standard löschen, AWS Control Tower indem Sie alle entsprechenden Steuerelemente mit einer der folgenden Methoden deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehl aus)

Durch das Deaktivieren aller Steuerelemente wird der Standard in allen verwalteten Konten und verwalteten Regionen in gelöscht. AWS Control Tower Wenn Sie den Standard-in löschen, wird er von der Seite **Standards** der Security Hub CSPM-Konsole AWS Control Tower entfernt, und Sie können nicht mehr mit der Security Hub CSPM-API darauf zugreifen oder. AWS CLI

**Anmerkung**  
 Durch die Deaktivierung aller Steuerelemente aus dem Standard in Security Hub CSPM wird der Standard nicht deaktiviert oder gelöscht. 

Durch die Deaktivierung des Security Hub CSPM-Dienstes werden Service-Managed Standard: AWS Control Tower und alle anderen Standards, die Sie aktiviert haben, entfernt.

## Das Feldformat für Service-Managed Standard finden: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Wenn Sie Service-Managed Standard: erstellen AWS Control Tower und Kontrollen dafür aktivieren, erhalten Sie ab sofort Kontrollergebnisse in Security Hub CSPM. Security Hub CSPM meldet Kontrollergebnisse in der. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) Dies sind die ASFF-Werte für den Amazon Resource Name (ARN) dieses Standards und`GeneratorId`:
+ **Standard-ARN** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Ein Beispiel für einen Befund für Service-Managed Standard: finden Sie AWS Control Tower unter[Stichproben von Kontrollbefunden](sample-control-findings.md).

## Kontrollen, die für Service-Managed Standard gelten: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower unterstützt eine Teilmenge von Kontrollen, die Teil des FSBP-Standards ( AWS Foundational Security Best Practices) sind. Wählen Sie ein Steuerelement aus, um Informationen darüber anzuzeigen, einschließlich Schritte zur Behebung fehlgeschlagener Ergebnisse.

Um zu sehen, von welchen Security Hub CSPM-Steuerelementen unterstützt werden AWS Control Tower, können Sie eine der folgenden Methoden verwenden:
+ AWS Steuern Sie die Catalog-Konsole, nach der Sie filtern können `“Control owner = AWS Security Hub”`
+ AWS Steuern Sie die Katalog-API (rufen Sie die [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API auf) mit dem Filter für`Implementations`, nach dem gesucht werden `Types` soll `AWS::SecurityHub::SecurityControl`
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)Befehl aus) mit Filter für`Implementations`. Beispiel für einen CLI-Befehl:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Regionale Grenzwerte für Security Hub CSPM-Steuerungen, wenn sie über den Control Tower Tower-Standard aktiviert sind, stimmen möglicherweise nicht mit den regionalen Grenzwerten für die zugrunde liegenden Kontrollen überein.

Wenn in Security Hub CSPM [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) in Ihrem Konto deaktiviert sind, verwendet das `ProductFields.ControlId` Feld in den generierten Ergebnissen die standardbasierte Kontroll-ID. **Die standardbasierte Kontroll-ID ist als CT formatiert. ***ControlId***(zum Beispiel CT. CodeBuild**.1).

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.

# Einen Sicherheitsstandard aktivieren
<a name="enable-standards"></a>

Wenn Sie einen Sicherheitsstandard in AWS Security Hub CSPM aktivieren, erstellt und aktiviert Security Hub CSPM automatisch alle Kontrollen, die für den Standard gelten. Security Hub CSPM beginnt auch mit der Durchführung von Sicherheitsprüfungen und der Generierung von Ergebnissen für die Kontrollen.

Um die Abdeckung und Genauigkeit der Ergebnisse zu optimieren, aktivieren und konfigurieren Sie die Ressourcenaufzeichnung, AWS Config bevor Sie einen Standard aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten. Weitere Informationen finden Sie unter [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md).

Nachdem Sie einen Standard aktiviert haben, können Sie einzelne Kontrollen, die für den Standard gelten, deaktivieren oder später wieder aktivieren. Wenn Sie ein Steuerelement für einen Standard deaktivieren, generiert Security Hub CSPM keine Ergebnisse mehr für das Steuerelement. Darüber hinaus ignoriert Security Hub CSPM das Steuerelement bei der Berechnung der Sicherheitsbewertung für den Standard. Die Sicherheitsbewertung ist der Prozentsatz der Kontrollen, die die Bewertung bestanden haben, im Verhältnis zur Gesamtzahl der Kontrollen, die für den Standard gelten, aktiviert sind und über Bewertungsdaten verfügen.

Wenn Sie einen Standard aktivieren, generiert Security Hub CSPM eine vorläufige Sicherheitsbewertung für den Standard, in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der Seite **Zusammenfassung** oder **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Sicherheitsbewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten auf der Konsole aufrufen. Darüber hinaus muss die Ressourcenaufzeichnung konfiguriert sein, damit AWS Config die Punktzahlen angezeigt werden. In den China Regionen und kann es bis zu 24 Stunden dauern AWS GovCloud (US) Regions, bis Security Hub CSPM eine vorläufige Sicherheitsbewertung für einen Standard generiert. Nachdem Security Hub CSPM eine vorläufige Bewertung generiert hat, wird die Bewertung alle 24 Stunden aktualisiert. Um festzustellen, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde, können Sie sich auf einen Zeitstempel beziehen, den Security Hub CSPM für die Bewertung bereitstellt. Weitere Informationen finden Sie unter [Berechnung von Sicherheitswerten](standards-security-score.md).

Wie Sie einen Standard aktivieren, hängt davon ab, ob Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, um Security Hub CSPM für mehrere Konten zu verwalten und. AWS-Regionen Wir empfehlen die zentrale Konfiguration, wenn Sie Standards in Umgebungen mit mehreren Konten und mehreren Regionen aktivieren möchten. Sie können die zentrale Konfiguration verwenden, wenn Sie Security Hub CSPM mit integrieren. AWS Organizations Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie jeden Standard separat in jedem Konto und jeder Region aktivieren.

**Topics**
+ [Aktivierung eines Standards in mehreren Konten und AWS-Regionen](#enable-standards-central-configuration)
+ [Aktivierung eines Standards in einem einzigen Konto und AWS-Region](#securityhub-standard-enable-console)
+ [Den Status eines Standards überprüfen](#standard-subscription-status)

## Aktivierung eines Standards in mehreren Konten und AWS-Regionen
<a name="enable-standards-central-configuration"></a>

Verwenden Sie die [zentrale Konfiguration, um einen Sicherheitsstandard für mehrere Konten zu aktivieren und AWS-Regionen zu konfigurieren](central-configuration-intro.md). Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards aktivieren. Der Administrator kann dann einzelnen Konten, Organisationseinheiten (OUs) oder dem Stammkonto eine Konfigurationsrichtlinie zuordnen. Eine Konfigurationsrichtlinie wirkt sich auf die Heimatregion, die auch als *Aggregationsregion* bezeichnet wird, und auf alle verknüpften Regionen aus.

Konfigurationsrichtlinien bieten Anpassungsoptionen. Sie können sich beispielsweise dafür entscheiden, nur den FSBP-Standard ( AWS Foundational Security Best Practices) für eine Organisationseinheit zu aktivieren. Für eine andere Organisationseinheit könnten Sie sich dafür entscheiden, sowohl den FSBP-Standard als auch den Benchmark v1.4.0-Standard der Center for Internet Security (CIS) AWS Foundations zu aktivieren. Informationen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte von Ihnen angegebene Standards aktiviert, finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

Wenn Sie die zentrale Konfiguration verwenden, aktiviert Security Hub CSPM nicht automatisch Standards in neuen oder bestehenden Konten. Stattdessen gibt der Security Hub CSPM-Administrator an, welche Standards für verschiedene Konten aktiviert werden sollen, wenn er Security Hub CSPM-Konfigurationsrichtlinien für seine Organisation erstellt. Security Hub CSPM bietet eine empfohlene Konfigurationsrichtlinie, in der nur der FSBP-Standard aktiviert ist. Weitere Informationen finden Sie unter [Arten von Konfigurationsrichtlinien](configuration-policies-overview.md#policy-types).

**Anmerkung**  
Der Security Hub CSPM-Administrator kann mithilfe von Konfigurationsrichtlinien jeden Standard außer dem vom [AWS Control Tower Service](service-managed-standard-aws-control-tower.md) verwalteten Standard aktivieren. Um diesen Standard zu aktivieren, muss der Administrator ihn direkt verwenden. AWS Control Tower Sie müssen außerdem einzelne Steuerungen in diesem Standard für ein zentral verwaltetes Konto aktivieren oder deaktivieren. AWS Control Tower 

*Wenn Sie möchten, dass einige Konten Standards für ihre eigenen Konten aktivieren und konfigurieren, kann der Security Hub CSPM-Administrator diese Konten als selbstverwaltete Konten kennzeichnen.* Selbstverwaltete Konten müssen Standards in jeder Region separat aktivieren und konfigurieren.

## Aktivierung eines Standards in einem einzigen Konto und AWS-Region
<a name="securityhub-standard-enable-console"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie keine Konfigurationsrichtlinien verwenden, um Sicherheitsstandards zentral in mehreren Konten zu aktivieren oder AWS-Regionen. Sie können jedoch einen Standard für ein einzelnes Konto und eine Region aktivieren. Sie können dies mithilfe der Security Hub CSPM-Konsole oder der Security Hub CSPM-API tun.

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um mithilfe der Security Hub CSPM-Konsole einen Standard für ein Konto und eine Region zu aktivieren.

**Um einen Standard in einem Konto und einer Region zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Standard aktivieren möchten.

1. **Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus.** Auf der Seite **Sicherheitsstandards** sind alle Standards aufgeführt, die Security Hub CSPM derzeit unterstützt. Wenn Sie bereits einen Standard aktiviert haben, enthält der Abschnitt für den Standard die aktuelle Sicherheitsbewertung und zusätzliche Details zum Standard.

1. Wählen Sie im Abschnitt für den Standard, den Sie aktivieren möchten, die Option **Standard aktivieren** aus.

Um den Standard in weiteren Regionen zu aktivieren, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den Vorgang, um einen Standard programmgesteuert in einem einzigen Konto und einer Region zu aktivieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)Befehl aus.

Verwenden Sie in Ihrer Anfrage den `StandardsArn` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, den Sie aktivieren möchten. Geben Sie auch die Region an, für die Ihre Anfrage gilt. Mit dem folgenden Befehl wird beispielsweise der FSBP-Standard ( AWS Foundational Security Best Practices) aktiviert:

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

Wo *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** ist der ARN des FSBP-Standards in der Region USA Ost (Nord-Virginia), und *us-east-1* ist die Region, in der er aktiviert werden soll.

Um den ARN für einen Standard abzurufen, verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)Befehl aus.

Um zunächst eine Liste der Standards zu überprüfen, die derzeit in Ihrem Konto aktiviert sind, können Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)Vorgang verwenden. Wenn Sie den verwenden AWS CLI, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um diese Liste abzurufen.

------

Nachdem Sie einen Standard aktiviert haben, beginnt Security Hub CSPM mit der Ausführung von Aufgaben, um den Standard im Konto und in der angegebenen Region zu aktivieren. Dazu gehört die Erstellung aller Kontrollen, die für den Standard gelten. Um den Status dieser Aufgaben zu überwachen, können Sie den Status des Standards für das Konto und die Region überprüfen.

## Den Status eines Standards überprüfen
<a name="standard-subscription-status"></a>

Wenn Sie einen Sicherheitsstandard für ein Konto aktivieren, beginnt Security Hub CSPM mit der Erstellung aller Kontrollen, die für den Standard im Konto gelten. Security Hub CSPM führt auch zusätzliche Aufgaben aus, um den Standard für das Konto zu aktivieren, z. B. die Generierung einer vorläufigen Sicherheitsbewertung für den Standard. Während Security Hub CSPM diese Aufgaben ausführt, bezieht sich der Status des Standards auf das *Pending*Konto. Der Status des Standards durchläuft dann weitere Status, die Sie überwachen und überprüfen können.

**Anmerkung**  
Änderungen an einzelnen Kontrollen für eine Norm wirken sich nicht auf den Gesamtstatus der Norm aus. Wenn Sie beispielsweise ein Steuerelement aktivieren, das Sie zuvor deaktiviert haben, wirkt sich Ihre Änderung nicht auf den Status des Standards aus. Ebenso wirkt sich Ihre Änderung nicht auf den Status des Standards aus, wenn Sie einen Parameterwert für ein aktiviertes Steuerelement ändern.

Um den Status eines Standards mithilfe der Security Hub CSPM-Konsole zu überprüfen, wählen Sie im Navigationsbereich **Sicherheitsstandards** aus. Auf der Seite **Sicherheitsstandards** sind alle Standards aufgeführt, die Security Hub CSPM derzeit unterstützt. Wenn Security Hub CSPM derzeit Aufgaben zur Aktivierung des Standards ausführt, gibt der Abschnitt für den Standard an, dass Security Hub CSPM immer noch eine Sicherheitsbewertung für den Standard generiert. Wenn ein Standard aktiviert ist, enthält der Abschnitt für den Standard die aktuelle Bewertung. Wählen Sie **Ergebnisse anzeigen**, um zusätzliche Details zu überprüfen, einschließlich des Status einzelner Kontrollen, die für den Standard gelten. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Verwenden Sie den Vorgang, um den Status eines Standards programmgesteuert mit der Security Hub CSPM-API zu überprüfen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) Verwenden Sie in Ihrer Anfrage optional den `StandardsSubscriptionArns` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, dessen Status Sie überprüfen möchten. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um den Status eines Standards zu überprüfen. Verwenden Sie den `standards-subscription-arns` Parameter, um den ARN des zu prüfenden Standards anzugeben. Um zu ermitteln, welcher ARN angegeben werden soll, können Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang verwenden oder für den den AWS CLI den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)Befehl ausführen.

Wenn Ihre Anfrage erfolgreich ist, antwortet Security Hub CSPM mit einer Reihe von Objekten. `StandardsSubscription` Ein *Standardabonnement* ist eine AWS Ressource, die Security Hub CSPM in einem Konto erstellt, wenn ein Standard für das Konto aktiviert ist. Jedes `StandardsSubscription` Objekt enthält Details zu einem Standard, der derzeit für das Konto aktiviert ist oder gerade aktiviert oder deaktiviert wird. In jedem Objekt gibt das `StandardsStatus` Feld den aktuellen Status des Standards für das Konto an.

Der Status eines Standards (`StandardsStatus`) kann einer der folgenden sein.

**PENDING**  
Security Hub CSPM führt derzeit Aufgaben aus, um den Standard für das Konto zu aktivieren. Dazu gehören die Erstellung der Kontrollen, die für den Standard gelten, und die Erstellung einer vorläufigen Sicherheitsbewertung für den Standard. Es kann mehrere Minuten dauern, bis Security Hub CSPM alle Aufgaben abgeschlossen hat. Ein Standard kann diesen Status auch haben, wenn er bereits für das Konto aktiviert ist und Security Hub CSPM dem Standard derzeit neue Steuerungen hinzufügt.  
Wenn ein Standard diesen Status hat, können Sie möglicherweise nicht die Details einzelner Kontrollen abrufen, die für den Standard gelten. Darüber hinaus sind Sie möglicherweise nicht in der Lage, einzelne Steuerelemente für den Standard zu konfigurieren oder zu deaktivieren. Wenn Sie beispielsweise versuchen, ein Steuerelement mithilfe des [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)Vorgangs zu deaktivieren, tritt ein Fehler auf.  
Anhand des Werts für das `StandardsControlsUpdatable` Feld können Sie feststellen, ob Sie einzelne Steuerelemente für den Standard konfigurieren oder anderweitig verwalten können. Wenn der Wert für dieses Feld lautet`READY_FOR_UPDATES`, können Sie mit der Verwaltung einzelner Steuerelemente für den Standard beginnen. Warten Sie andernfalls, bis Security Hub CSPM zusätzliche Verarbeitungsaufgaben abgeschlossen hat, um den Standard zu aktivieren.

**READY**  
Der Standard ist derzeit für das Konto aktiviert. Security Hub CSPM kann Sicherheitsprüfungen durchführen und Ergebnisse für alle Kontrollen generieren, die für den Standard gelten und derzeit aktiviert sind. Security Hub CSPM kann auch eine Sicherheitsbewertung für den Standard berechnen.  
Wenn ein Standard diesen Status hat, können Sie die Details der einzelnen Kontrollen abrufen, die für den Standard gelten. Darüber hinaus können Sie die Steuerelemente konfigurieren, deaktivieren oder erneut aktivieren. Sie können den Standard auch deaktivieren.

**INCOMPLETE**  
Security Hub CSPM konnte den Standard für das Konto nicht vollständig aktivieren. Security Hub CSPM kann keine Sicherheitsprüfungen durchführen und keine Ergebnisse für alle Kontrollen generieren, die für den Standard gelten und derzeit aktiviert sind. Darüber hinaus kann Security Hub CSPM keine Sicherheitsbewertung für den Standard berechnen.  
Anhand der Informationen im Array können Sie feststellen, warum der Standard nicht vollständig aktiviert wurde. `StandardsStatusReason` Dieses Array spezifiziert Probleme, die Security Hub CSPM daran gehindert haben, den Standard zu aktivieren. Wenn ein interner Fehler aufgetreten ist, versuchen Sie erneut, den Standard für das Konto zu aktivieren. Bei anderen Problemen [überprüfen Sie Ihre AWS Config Einstellungen](securityhub-setup-prereqs.md). Sie können auch [einzelne Steuerelemente deaktivieren](disable-controls-overview.md), die Sie nicht überprüfen möchten, oder den Standard vollständig deaktivieren.

**DELETING**  
Security Hub CSPM bearbeitet derzeit eine Anfrage zur Deaktivierung des Standards für das Konto. Dazu gehören die Deaktivierung der Kontrollen, die für den Standard gelten, und das Entfernen der zugehörigen Sicherheitsbewertung. Es kann mehrere Minuten dauern, bis Security Hub CSPM die Bearbeitung der Anfrage abgeschlossen hat.  
Wenn ein Standard diesen Status hat, können Sie den Standard nicht erneut aktivieren oder erneut versuchen, ihn für das Konto zu deaktivieren. Security Hub CSPM muss zuerst die Bearbeitung der aktuellen Anfrage abschließen. Darüber hinaus können Sie die Details einzelner Kontrollen, die für den Standard gelten, nicht abrufen oder die Kontrollen verwalten.

**FAILED**  
Security Hub CSPM konnte den Standard für das Konto nicht deaktivieren. Ein oder mehrere Fehler traten auf, als Security Hub CSPM versuchte, den Standard zu deaktivieren. Darüber hinaus kann Security Hub CSPM keine Sicherheitsbewertung für den Standard berechnen.  
Anhand der Informationen im Array können Sie feststellen, warum der Standard nicht vollständig deaktiviert wurde. `StandardsStatusReason` Dieses Array spezifiziert Probleme, die Security Hub CSPM daran gehindert haben, den Standard zu deaktivieren.  
Wenn ein Standard diesen Status hat, können Sie die Details einzelner Kontrollen, die für den Standard gelten, nicht abrufen oder die Kontrollen verwalten. Sie können den Standard jedoch für das Konto wieder aktivieren. Wenn Sie die Probleme beheben, die Security Hub CSPM daran gehindert haben, den Standard zu deaktivieren, können Sie auch erneut versuchen, den Standard zu deaktivieren.

Wenn der Status eines Standards lautet`READY`, führt Security Hub CSPM Sicherheitsprüfungen durch und generiert Ergebnisse für alle Kontrollen, die für den Standard gelten und derzeit aktiviert sind. Bei anderen Status führt Security Hub CSPM möglicherweise Prüfungen durch und generiert Ergebnisse für einige, aber nicht alle aktivierten Kontrollen. Es kann bis zu 24 Stunden dauern, bis die Kontrollergebnisse generiert oder aktualisiert werden. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

# Überprüfung der Einzelheiten eines Sicherheitsstandards
<a name="securityhub-standards-view-controls"></a>

Nachdem Sie einen Sicherheitsstandard in AWS Security Hub CSPM aktiviert haben, können Sie die Konsole verwenden, um die Details des Standards zu überprüfen. Auf der Konsole enthält die Detailseite für einen Standard die folgenden Informationen:
+ Die aktuelle Sicherheitsbewertung für den Standard.
+ Eine Tabelle mit Kontrollen, die für den Standard gelten.
+ Aggregierte Statistiken für Kontrollen, die für den Standard gelten.
+ Eine visuelle Zusammenfassung des Status der Kontrollen, die für den Standard gelten.
+ Eine visuelle Zusammenfassung der Sicherheitsprüfungen für Kontrollen, die aktiviert sind und dem Standard entsprechen. Bei der Integration mit gelten Steuerelemente AWS Organizations, die in mindestens einem Organisationskonto aktiviert sind, als aktiviert.

Um diese Details zu überprüfen, wählen Sie im Navigationsbereich der Konsole **Sicherheitsstandards** aus. Wählen Sie dann im Abschnitt für den Standard die Option **Ergebnisse anzeigen** aus. Für eine eingehendere Analyse können Sie die Daten filtern und sortieren und sich die Details der einzelnen Kontrollen ansehen, die für den Standard gelten.

**Topics**
+ [Grundlegendes zur Standard-Sicherheitsbewertung](#standard-details-overview)
+ [Überprüfung der Kontrollen im Hinblick auf einen Standard](#standard-controls-list)

## Grundlegendes zur Standard-Sicherheitsbewertung
<a name="standard-details-overview"></a>

Auf der AWS Security Hub CSPM-Konsole wird auf der Detailseite für einen Standard die Sicherheitsbewertung für den Standard angezeigt. Die Bewertung ist der Prozentsatz der Kontrollen, die die Bewertung bestanden haben, im Verhältnis zur Gesamtzahl der Kontrollen, die für den Standard gelten, aktiviert sind und über Bewertungsdaten verfügen. Unter der Punktzahl befindet sich ein Diagramm, das die Sicherheitsüberprüfungen für Kontrollen zusammenfasst, die für den Standard aktiviert sind. Dies beinhaltet die Anzahl der bestandenen und fehlgeschlagenen Sicherheitsprüfungen. Bei Administratorkonten werden die Standardpunktzahl und das Diagramm für das Administratorkonto und alle Mitgliedskonten zusammengefasst. Um fehlgeschlagene Sicherheitsüberprüfungen auf Kontrollen mit einem bestimmten Schweregrad zu überprüfen, wählen Sie den Schweregrad aus.

Wenn Sie einen Standard aktivieren, generiert Security Hub CSPM eine vorläufige Sicherheitsbewertung für den Standard, in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der **Übersichtsseite** oder der Seite **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Bewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten besuchen. Darüber hinaus muss die AWS Config Ressourcenaufzeichnung konfiguriert werden, damit die Ergebnisse angezeigt werden. In den Regionen China und kann es bis zu 24 Stunden dauern AWS GovCloud (US) Regions, bis Security Hub CSPM eine vorläufige Bewertung generiert. Nachdem Security Hub CSPM eine vorläufige Bewertung für einen Standard generiert hat, wird die Bewertung alle 24 Stunden aktualisiert. Weitere Informationen finden Sie unter [Berechnung von Sicherheitswerten](standards-security-score.md).

Alle Daten auf den Detailseiten zu **Sicherheitsstandards** beziehen sich auf den aktuellen Stand, AWS-Region sofern Sie keine Aggregationsregion festlegen. Wenn Sie eine Aggregationsregion festlegen, gelten die Sicherheitsbewertungen für alle Regionen und beinhalten Ergebnisse für alle verknüpften Regionen. Darüber hinaus spiegelt der Konformitätsstatus der Kontrollen Ergebnisse aus verknüpften Regionen wider, und die Anzahl der Sicherheitsprüfungen umfasst Ergebnisse aus verknüpften Regionen.

## Überprüfung der Kontrollen im Hinblick auf einen Standard
<a name="standard-controls-list"></a>

Wenn Sie die AWS Security Hub CSPM-Konsole verwenden, um die Details eines Standards zu überprüfen, den Sie aktiviert haben, können Sie eine Tabelle mit Sicherheitskontrollen überprüfen, die für den Standard gelten. Für jedes Steuerelement enthält die Tabelle die folgenden Informationen:
+ Die Kontroll-ID und der Titel.
+ Der Status des Steuerelements. Weitere Informationen finden Sie unter [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).
+ Der Schweregrad, der der Kontrolle zugewiesen wurde.
+ Die Anzahl der fehlgeschlagenen Prüfungen und die Gesamtzahl der Prüfungen. Falls zutreffend, gibt das Feld **Fehlgeschlagene Prüfungen** auch die Anzahl der Ergebnisse mit dem Status **Unbekannt** an.
+ Ob das Steuerelement benutzerdefinierte Parameter unterstützt. Weitere Informationen finden Sie unter [Grundlegendes zu den Steuerungsparametern in Security Hub CSPM](custom-control-parameters.md).

Security Hub CSPM-Updates kontrollieren den Status und die Anzahl der Sicherheitschecks alle 24 Stunden. Ein Zeitstempel oben auf der Seite gibt an, wann Security Hub CSPM diese Daten zuletzt aktualisiert hat.

Bei Administratorkonten werden der Kontrollstatus und die Anzahl der Sicherheitsüberprüfungen für das Administratorkonto und alle Mitgliedskonten zusammengefasst. Die Anzahl der aktivierten Kontrollen umfasst Kontrollen, die standardmäßig im Administratorkonto oder in mindestens einem Mitgliedskonto aktiviert sind. Die Anzahl der deaktivierten Steuerelemente umfasst Steuerelemente, die standardmäßig im Administratorkonto und in allen Mitgliedskonten deaktiviert sind.

Sie können die Tabelle der Steuerelemente filtern, die für den Standard gelten. Mithilfe der Optionen „**Nach filtern**“ neben der Tabelle können Sie wählen, ob nur aktivierte oder nur deaktivierte Steuerelemente für den Standard angezeigt werden sollen. Wenn Sie nur aktivierte Steuerelemente anzeigen, können Sie die Tabelle weiter nach dem Status der Steuerelemente filtern. Sie können sich dann auf Steuerelemente konzentrieren, die einen bestimmten Kontrollstatus haben. Zusätzlich zu den Optionen **Filtern nach** können Sie Filterkriterien in das Feld **Steuerelemente filtern** eingeben. Sie können beispielsweise nach der Kontroll-ID oder dem Titel filtern.

Wählen Sie Ihre bevorzugte Zugriffsmethode. Folgen Sie dann den Schritten, um die Kontrollen zu überprüfen, die für einen von Ihnen aktivierten Standard gelten.

------
#### [ Security Hub CSPM console ]

**Um die Steuerelemente für einen aktivierten Standard zu überprüfen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie im Navigationsbereich **Sicherheitsstandards** aus.

1. Wählen Sie im Abschnitt für den Standard die Option **Ergebnisse anzeigen** aus.

In der Tabelle unten auf der Seite sind alle Steuerelemente aufgeführt, die für den Standard gelten. Sie können die Tabelle filtern und sortieren. Sie können die aktuelle Seite der Tabelle auch als CSV-Datei herunterladen. Wählen Sie dazu oberhalb der Tabelle die Option **Herunterladen** aus. Wenn Sie die Tabelle filtern, enthält die heruntergeladene Datei nur die Steuerelemente, die Ihren aktuellen Filtereinstellungen entsprechen.

------
#### [ Security Hub CSPM API ]

**Um die Steuerelemente für einen aktivierten Standard zu überprüfen**

1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)Befehl aus.

   Geben Sie den Amazon-Ressourcennamen (ARN) des Standards an, für den Sie die Kontrollen überprüfen möchten. Um nach Standards zu ARNs suchen, verwenden Sie den [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang oder führen Sie den Befehl [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) aus. Wenn Sie den ARN für einen Standard nicht angeben, gibt Security Hub CSPM die gesamte Sicherheitskontrolle zurück. IDs

1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)Betrieb der Security Hub CSPM-API oder führen Sie den [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)Befehl aus. Dieser Vorgang gibt an, in welchen Standards ein Steuerelement aktiviert ist.

   Identifizieren Sie das Steuerelement, indem Sie die Sicherheitskontroll-ID oder den ARN angeben. Paginierungsparameter sind optional.

Das folgende Beispiel zeigt Ihnen, in welchen Standards das Config.1-Steuerelement aktiviert ist.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Durch das Ausschalten automatisch aktivierter Sicherheitsstandards
<a name="securityhub-auto-enabled-standards"></a>

Wenn Ihre Organisation keine zentrale Konfiguration verwendet, verwendet sie einen Konfigurationstyp, der als *lokale* Konfiguration bezeichnet wird. Mit der lokalen Konfiguration kann AWS Security Hub CSPM automatisch Standardsicherheitsstandards für neue Mitgliedskonten aktivieren, wenn die Konten Ihrer Organisation beitreten. Alle Kontrollen, die für diese Standardstandards gelten, werden ebenfalls automatisch aktiviert.

Derzeit sind die Standardsicherheitsstandards der Standard AWS Foundational Security Best Practices und der Benchmark v1.2.0-Standard der Center for Internet Security (CIS) AWS Foundations. Informationen zu diesen Standards finden Sie im. [Standardreferenz für Security Hub CSPM](standards-reference.md)

Wenn Sie Sicherheitsstandards für neue Mitgliedskonten lieber manuell aktivieren möchten, können Sie die automatische Aktivierung der Standardstandards deaktivieren. Dies ist nur möglich, wenn Sie die lokale Konfiguration integrieren AWS Organizations und diese verwenden. Wenn Sie die zentrale Konfiguration verwenden, können Sie stattdessen eine Konfigurationsrichtlinie erstellen, die die Standardstandards aktiviert, und die Richtlinie dem Stammverzeichnis zuordnen. Alle Ihre Unternehmenskonten und erben OUs dann diese Konfigurationsrichtlinie, sofern sie nicht mit einer anderen Richtlinie verknüpft sind oder selbst verwaltet werden. Wenn Sie nicht integrieren AWS Organizations, können Sie einen Standardstandard deaktivieren, wenn Sie Security Hub CSPM zum ersten Mal oder später aktivieren. Um zu erfahren wie dies geht, vgl. [Deaktivierung eines Standards](disable-standards.md).

Um die automatische Aktivierung der Standardstandards für neue Mitgliedskonten zu deaktivieren, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden.

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um die automatische Aktivierung der Standardstandards mithilfe der Security Hub CSPM-Konsole zu deaktivieren.

**Um die automatische Aktivierung von Standardstandards zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.

1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Konfiguration** aus.

1. Wählen Sie im Abschnitt **Übersicht** die Option **Bearbeiten** aus.

1. Deaktivieren Sie unter **Neue Kontoeinstellungen** das Kontrollkästchen **Standardsicherheitsstandards** aktivieren.

1. Wählen Sie **Bestätigen** aus.

------
#### [ Security Hub CSPM API ]

Um die automatische Aktivierung der Standardstandards programmgesteuert zu deaktivieren, verwenden Sie vom Security Hub CSPM-Administratorkonto aus den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)Betrieb der Security Hub CSPM-API. Geben Sie in Ihrer Anfrage den Parameter an. `NONE` `AutoEnableStandards` 

Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)Befehl aus, um die automatische Aktivierung der Standardstandards zu deaktivieren. Geben Sie für den Parameter `auto-enable-standards` `NONE` an: Der folgende Befehl aktiviert beispielsweise automatisch Security Hub CSPM für neue Mitgliedskonten und deaktiviert die automatische Aktivierung der Standardstandards für die Konten.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Deaktivierung eines Sicherheitsstandards
<a name="disable-standards"></a>

Wenn Sie einen Sicherheitsstandard in AWS Security Hub CSPM deaktivieren, passiert Folgendes:
+ Alle Steuerelemente, die für den Standard gelten, sind deaktiviert, sofern sie nicht mit einem anderen Standard verknüpft sind, der derzeit aktiviert ist.
+ Sicherheitsprüfungen für die deaktivierten Steuerelemente werden nicht mehr durchgeführt, und es werden keine weiteren Ergebnisse für die deaktivierten Steuerelemente generiert.
+ Bestehende Ergebnisse für die deaktivierten Kontrollen werden nach etwa 3-5 Tagen automatisch archiviert.
+ AWS Config Regeln, die Security Hub CSPM für die deaktivierten Steuerelemente erstellt hat, werden gelöscht.

Das Löschen der entsprechenden AWS Config Regeln erfolgt in der Regel innerhalb weniger Minuten nach der Deaktivierung eines Standards. Es kann jedoch länger dauern. Wenn die erste Anfrage die Regeln nicht löscht, versucht Security Hub CSPM alle 12 Stunden erneut. Wenn Sie Security Hub CSPM jedoch deaktiviert haben oder keine anderen Standards aktiviert haben, kann Security Hub CSPM es nicht erneut versuchen, was bedeutet, dass die Regeln nicht gelöscht werden können. Wenn dies der Fall ist und Sie die Regeln löschen müssen, wenden Sie sich an. AWS Support

**Topics**
+ [Deaktivierung eines Standards in mehreren Konten und AWS-Regionen](#disable-standards-central-configuration)
+ [Deaktivierung eines Standards in einem einzelnen Konto und AWS-Region](#securityhub-standard-disable-console)

## Deaktivierung eines Standards in mehreren Konten und AWS-Regionen
<a name="disable-standards-central-configuration"></a>

Verwenden Sie die [zentrale Konfiguration AWS-Regionen](central-configuration-intro.md), um einen Sicherheitsstandard für mehrere Konten und zu deaktivieren. Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards deaktivieren. Der Administrator kann dann einzelnen Konten, Organisationseinheiten (OUs) oder dem Stammkonto eine Konfigurationsrichtlinie zuordnen. Eine Konfigurationsrichtlinie wirkt sich auf die Heimatregion, die auch als *Aggregationsregion* bezeichnet wird, und auf alle verknüpften Regionen aus.

Konfigurationsrichtlinien bieten Anpassungsoptionen. Sie könnten sich beispielsweise dafür entscheiden, den Payment Card Industry Data Security Standard (PCI DSS) in einer Organisationseinheit zu deaktivieren. Für eine andere Organisationseinheit könnten Sie sich dafür entscheiden, sowohl den PCI DSS als auch den Standard SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) zu deaktivieren. Informationen zum Erstellen einer Konfigurationsrichtlinie, mit der einzelne von Ihnen angegebene Standards aktiviert oder deaktiviert werden, finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

**Anmerkung**  
Der Security Hub CSPM-Administrator kann mithilfe von Konfigurationsrichtlinien jeden Standard außer dem vom [AWS Control Tower Service](service-managed-standard-aws-control-tower.md) verwalteten Standard deaktivieren. Um diesen Standard zu deaktivieren, muss der Administrator ihn direkt verwenden. AWS Control Tower Sie müssen außerdem einzelne Steuerungen in diesem Standard für ein zentral verwaltetes Konto verwenden, AWS Control Tower um sie zu deaktivieren oder zu aktivieren.

*Wenn Sie möchten, dass einige Konten Standards für ihre eigenen Konten konfigurieren oder deaktivieren, kann der Security Hub CSPM-Administrator diese Konten als selbstverwaltete Konten kennzeichnen.* Selbstverwaltete Konten müssen die Standards in jeder Region separat deaktivieren.

## Deaktivierung eines Standards in einem einzelnen Konto und AWS-Region
<a name="securityhub-standard-disable-console"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie keine Konfigurationsrichtlinien verwenden, um Sicherheitsstandards in mehreren Konten zentral zu deaktivieren oder. AWS-Regionen Sie können jedoch einen Standard für ein einzelnes Konto und eine Region deaktivieren. Sie können dies mithilfe der Security Hub CSPM-Konsole oder der Security Hub CSPM-API tun. 

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um einen Standard in einem Konto und einer Region mithilfe der Security Hub CSPM-Konsole zu deaktivieren.

**Um einen Standard in einem Konto und einer Region zu deaktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Standard deaktivieren möchten.

1. **Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus.**

1. Wählen Sie im Abschnitt für den Standard, den Sie deaktivieren möchten, die Option **Standard deaktivieren** aus.

Um den Standard in weiteren Regionen zu deaktivieren, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den Vorgang, um einen Standard programmgesteuert in einem einzelnen Konto und einer Region zu deaktivieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html) Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)Befehl aus.

Verwenden Sie in Ihrer Anfrage den `StandardsSubscriptionArns` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, den Sie deaktivieren möchten. Wenn Sie den verwenden AWS CLI, verwenden Sie den `standards-subscription-arns` Parameter, um den ARN anzugeben. Geben Sie auch die Region an, für die sich Ihre Anfrage bezieht. Der folgende Befehl deaktiviert beispielsweise den FSBP-Standard ( AWS Foundational Security Best Practices) für ein Konto (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

Wo *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* ist der ARN des FSBP-Standards für das Konto in der Region USA Ost (Nord-Virginia), und *us-east-1* ist die Region, in der es deaktiviert werden soll.

Um den ARN für einen Standard zu erhalten, können Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)Operation verwenden. Bei diesem Vorgang werden Informationen zu den Standards abgerufen, die derzeit in Ihrem Konto aktiviert sind. Wenn Sie den verwenden AWS CLI, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um diese Informationen abzurufen.

------

Nachdem Sie einen Standard deaktiviert haben, beginnt Security Hub CSPM mit der Ausführung von Aufgaben zur Deaktivierung des Standards im Konto und in der angegebenen Region. Dies beinhaltet die Deaktivierung aller Kontrollen, die für den Standard gelten. Um den Status dieser Aufgaben zu überwachen, können Sie [den Status des Standards für das](enable-standards.md#standard-subscription-status) Konto und die Region überprüfen.